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备 受 推 寄 、 最 超人 所 。 [3 
$ 鸟 哥 的 Linux 悉 谎 菜 一 服务 器 架设 篇 》 EE 
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”》 鸟 哥 在 本 书 中 教 您 : 
有 可 泥 设 一 个 安全 的 网 站 
如 何 维 护 与 管理 您 的 服务 器 
如 何 有 效 地 对 您 的 服务 器 系统 进行 安全 加 男 
如 何在 局 域 网 与 Imtarngt 中 部 轨 夺 的 慑 用 如 





一 灿 杯 工业 出 版 福 
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特别 强调 


底下 这 些 文件 主要 是 针对 在 Linux 上 的 网 络 服务 器 来 书写 架设 方式 的 ， 
鸟 哥 主要 以 使 用 RPM/YUM 作为 


软件 安装 的 CentOS 为 基础 系统 。 CentOS 是 属于 Red Hat Enterprise 
Linux (RHEL) 的 操作 系统 ， 所 


以 理论 上 RHEL，CentOS, Fedora 等 版 本 都 适用 的 啦 ! 为 什么 要 使 用 默 
认 的 软件 管理 方式 来 安装 所 有 的 


服务 器 程序 呢 ? 这 是 因为 大 多 数 的 Linux 开发 商都 会 有 所 谓 的 在 线 升 级 
系统 ， 包括 CentOS/Fedora 的 


yum ， 以 及 SuSE 的 YOU ， 还 有 Debian 的 apt 等 等 ， 因为 有 在 线 『 自 
动 升 级 上 ， 所 以 当然 会 比 您 自 


己 手动 使 用 Tarball 的 安装 方式 来 的 方便 且 安 全 ! 因为 你 的 系统 上 头 所 
有 的 数据 可 以 在 第 一 时 间 内 『 目 


动 」 修 补 完 毕 嘛 ! 
要 架设 好 一 部 Linux 服务 器 实在 很 简单 ， 只 要 按照 乌 哥 网 站 上 的 步骤， 
一 步 一 步 的 慢 慢 设 定 下 去 ， 铁 


定 可 以 完成 您 所 需要 的 设 定 的 ! 但 是 ， 要 维护 好 一 部 Linux 主机 ， 却 是 
很 困难 的 ! 您 必须 要 熟悉 Linux 


的 系统 架构 、 网 络 的 基本 知识 如 协议 、IP、 路 由 、DNS 等 等 的 基础 知识 
才 和 有 | 

无 论 如 何 ， 您 要 开始 『[ 服 务 器 染 设 篇 」 之 前 ， 请 务必 先 读 完 [Linux 其 
础 篇 | 的 文章 才 行 ! 否则 几乎 就 


如 同上 面 提 到 的 ， 维 护 这 样 的 一 部 Linux 主机 ， 是 很 花 时 间 的 ! 没有 这 
个 认 知 ， 那 就 不 要 架 站 吧 ! 免得 











毒害 其 他 的 成 友 响 ! 


在 架 站 的 过 程 当中 ， 无 论 出 现任 何 问题 ， 第 一 个 
(log file)， 那 是 殉 服 问题 的 地 方 ! 
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第 一 部 份 : 架 站 前 的 进修 专区 


架 站 需要 很 强 的 Linux 基础 概念 以 及 基础 网 络 知识 ， 否 则 的 话 ， 当 网 络 
靳 断 续 续 


的 时 候 ， 您 永远 也 不 会 知道 是 哪里 出 问题 ! 而 当 茶 个 服务 右 软 件 出 问 
题 的 时 候 ， 您 永 


远 也 不 晓得 是 发 生 了 什么 事情 ! 老人 家 说 『 对 症 下 药 才 有 效 」】， ”随便 
吃 药 是 不 可 能 [无 


病 强身 」 的 ! 因此 ， 对 于 网 络 服务 喜来 说 最 重要 的 基础 档案 权限 、 程 序 
之 局 动 天 闭 与 管 


理 、 Bash shell 之 操作 与 script 、 使 用 者 账号 的 管理 等 等 ， 您 都 必须 要 
有 具备 最 基础 


的 认 知 才 行 ， 人 否则， 服务器 真 的 不 好 碰 ! 


在 这 一 篇 当中 ， 乌 哥 会 介绍 一 下 好 设 服务 器 之 前 你 必须 要 具备 的 基础 观 
念 ， 以 及 重 


要 的 网 络 基础 ，“ 当然 啦 ， 一 大 扒 的 网 络 指令 是 再 要 熟悉 的 。 这 些 网 络 
旨 令 不 是 要 你 背 


起 来 ， “而 古 希 望 在 你 需要 的 时 候 可 以 很 快速 的 得 阅 到 如 何 使 用 的 说 ! 
无 论 如 何 ， 请 您 


务必 在 架 站 前 【 读 过 Linux 基础 篇 | 及 


























读 过 网 络 基础 马上 的 文章 ， 人 否 





则 大 家 很 难 跟 


您 讨论 呢 ! ， 这 个 部 分 鸟 哥 放 在 最 前 面 ， 希 望 大 家 『 务 必 」 要 查看 这 些 
资料 啊 ! 
Da 
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作者 序 

最 近 更 新 日 期 : 2011/08/18 

作者 序 : 

服务 器 的 架设 并 不 容易 ， 除 了 需要 了 解 每 个 服务 器 的 工作 原理 与 目的 之 


外 ， 还 得 要 


熟悉 网 络 以 及 基础 系统 管理 操作 等 等 。 不 过 目前 有 太 多 的 书籍 以 及 设 
定 参 考 范例 在 教 


导 大 家 如 何 架 设 一 个 可 以 用 的 服务 器 ， 但 这 些 范 例 却 没有 就 服务 器 的 维 
护 与 管理 ， 还 


有 发 生 问题 时 应 该 要 如 何 处 理 的 流程 作 个 解释 。 因 此 ， 架 设 服务 器 是 很 
容易 的 ， 不 过 ， 


被 攻击 也 是 很 常见 的 啊 ! ”所 以 ， 笔 者 在 这 本 书 里 面 就 从 系统 基础 以 及 
网 络 基础 讲 起 ， 


再 谈 谈 网 络 攻 击 后 以 及 防火 载 防 护 主 机 后 ， 才 进入 架设 服务 器 的 章 。 


这 本 书 是 以 CentOS 6 为 范例 来 介绍 的 ， 这 个 版 本 的 Linux 有 很 多 与 以 
前 不 一 样 


的 服务 设 定 ， 常 常会 让 人 找 不 到 熟悉 的 配置 文件 位 置 。 而 且 笔 者 使 用 





SELinux 默认 启 


动 的 模式 来 进行 服务 器 的 设 定 ， 加 入 SELinux 后 ， 整 个 服务 器 的 设 定 就 
显 的 有 些 难度 


哩 ! 此 外 ， 以 前 没有 用 过 的 NetworkManager 服务 也 来 凑 一 脚 ， 所 以 老 
是 会 让 人 搞 到 


满 脑子 混乱 一 笔者 光 是 重复 测试 之 前 版 本 与 此 版 本 的 对 应 ， ”就 花 去 不 
少 的 时 间 呢 ! 硕 


望 这 样 的 测试 结 末 ， 能 够 帮 大 家 降低 上 自行 试 误 的 过 程 ， 早 点 设 定好 您 的 
服务 器 。 





这 次 第 三 版 的 改版 幅度 不 算 太 大 ， 主 要 是 将 前 面 几 章 网 络 安全 的 部 分 文 
章 统 合 ， 加 


入 了 第 二 版 被 拿 挥 的 代理 服务 器 章节 ， 减少 邮件 服务 需 的 进 阶 内 容 (说 
实在 的 ， 邮 件 


服务 器 的 架设 真 的 可 以 不 用 学 太 多 了 ! )， 并 加 入 了 相当 重要 的 ”iSCSI 
这 种 磁盘 提供 者 


的 仿真 器 ! 同时 将 vsftpd 加 入 了 SSL 的 加 密 支 持 ! 并 且 将 服务 器 常用 
在 内 部 网 络 或 


因特网 作 个 区 分 ， ”以 方便 使 用 者 了 解 该 服务 常用 于 哪些 实务 上 。 这 些 
分 类 都 是 笔者 近 

期 来 在 学 校 作 专题 研究 时 的 一 些 观察 后 ， 所 做 的 分 析 。 “希望 能 够 对 读 
着 们 有 些 帮 助 。 

谁 适合 这 本 书 : 

这 本 书 既然 是 谈论 比较 深入 的 架 站 规划 、 流 程 、 技 巧 与 维护 等 工作 ， 那 
么 比较 基础 


的 Linux 操作 与 相关 的 Shell 语法 ， 在 这 本 书 里 面 就 不 可 能 谈论 的 很 
i 


多 ， 上 毕竟 ， Linux 





基础 篇 “已 经 完成 了 ， 没 有 必要 在 这 本 书 里 面 再 次 的 重复 提 及 的 。 所 
以 ， 当 您 尝试 阅读 


这 本 书 的 时 候 ， 请 注意 ， 您 最 好 已 经 具备 有 Linux 操作 系统 的 相关 知 
识 ， 以 及 文字 接 


口 (BASH Shell) 的 相关 技巧 ， 还 有 ， 必 需要 能 够 了 解 一 些 Unix-Like 的 
二 作 流 程 ， 


例如 登录 文件 的 产生 与 放置 的 地 点 、 服 务 的 启动 与 关闭 方式 、 ”工作 排 
程 的 使 用 方法 、 


以 及 其 他 种 种 相关 的 事项 。 也 就 是 说 ， 如 果 您 从 未 接触 过 Linux ， 那 么 
建议 您 由 了 乌 











哥 的 Linux 私房 菜 -- 基础 学 习 篇 」 开 始 Linux 的 探索 历程 ， 否 则 ， 这 本 





可 能 会 过 于 难以 理解 。 
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2 Os 会 提 到 一 些 简 单 的 概念 而 不 是 僵化 的 流 
王 ， 二 


个 人 对 于 网 站 的 要 求 部 不 相同 ， 也 就 是 说 ， 每 个 人 的 网 站 其 实 部 是 带 有 
个 人 风格 的 ， 因 


此 僵化 的 流程 并 没有 太 大 的 意义 一 只 要 能 够 依据 这 些 简单 的 概念 来 进行 
网 站 的 架设 ， 乌 


哥 认 为 ， 您 的 主机 设 定 应 该 都 不 会 有 太 大 的 问题 。 怕 的 是 什么 呢 ? 都 
没有 页 过 Linux ， 


却 想 直 接 参 考 架 站 的 程序 来 完成 网 站 的 架设 的 朋友 ， 这 些 朋 友 最 容易 忽 
略 后 续 的 维护 与 

















管理 了 ! 这 也 容易 造成 网 站 的 不 稳定 或 者 是 造成 被 网 络 怪 客 (Cracker) 
入 侵 的 问题 啊 ! 


这 本 书 主要 的 目的 是 引导 用 户 进入 Linux 强大 的 网 络 功能 的 世界 ， 书 内 
的 范例 都 


是 乌 哥 自己 实际 测试 过 没有 问题 才 写 上 来 的 ， 不 过 ， 毕 竟 每 个 人 的 网 络 
环境 与 操作 习惯 


都 不 相同 ， ”因此 ， 鸟 哥 不 敢 说 我 书 内 的 范例 一 定 可 以 在 您 的 系统 上 操 
作成 功 的 ! 然而 ， 


书 内 都 会 提 到 一 些 基 本 概念 的 问题 ， 只 要 理解 这 些 基 本 的 概念 ， 并 且 对 
于 Linux 的 操 


作 熟 悉 ， 相 信 您 一 定 可 以 利用 书 内 的 范例 来 开发 出 适合 您 自己 的 服务 器 
设 定 的 ! 不 过 ， 


对 于 没有 磁 过 Linux 的 朋友 ， 还 是 建议 从 头 学 起 ， 至 于 为 什么 一 定 得 从 
头 学 起 ， 在 本 


书 的 第 一 章 内 会 仔细 谈论 喔 。 
革 市 安排 : 


本 书 在 章 市 的 规划 上 和 面 ， 主 要 分 为 四 大 部 分 ， 分 别 是 『 网 络 基础 篇 」、 
[主机 的 简 


易 防 火 措施 篇 】、 区 网 常见 服务 器 架设 篇 | 与 『 因 特 网 服务 器 
篇 」】， 前 两 篇 的 所 有 


内 容 是 很 基础 的 网 络 概念 与 实际 网 络 设 定 ， 包 括 很 重要 的 网 络 自我 检测 
以 及 防火 墙 设 定 


等 ， ”与 您 的 服务 器 能 不 能 运作 有 很 大 的 关系 ! 所 以 ， 您 在 开始 服务 器 


的 染 设 之 前 ， 请 


务必 将 前 面 两 篇 共 十 草 先 念 过 一 表 才 好 响 ! 




















在 『 网 络 基础 篇 | 当中， 我 们 会 介绍 简易 的 网 络 基础 ， 这 包含 了 硬件 的 
选择 与 布线 。 


此 外 ， 还 有 在 Linux 上 面 连 上 Internet 的 方法 ， 以 及 在 Linux 发 生 无 法 
连接 因特网 


的 问题 时 ， 简 易 的 查验 方法 。 看 完了 这 一 篇 之 后 ， 您 的 Linux 不 论 以 何 
种 方式 来 进行 


Internet 的 连接 ， 就 应 该 都 不 成 问题 吃 ， 而 且 ， 乌 哥 布 望 看 完 这 一 篇 之 
后 ， 您 可 以 了 


解 Linux 的 网 络 问题 ， 并 目 行 解决 喔 ! 


， [主机 的 简易 防火 措施 篇 上 」 中 ， 我 们 会 简单 的 介绍 Linux 的 强大 网 络 
功能 下 ， 


可 能 会 及 生 的 网 络 入 侵 问 题 。 接 下 来 ， 了 解 了 问题 后 ， 当 然 束 是 需要 来 
解决 他 哆 ! 所 以 ， 


我 们 会 就 TCP/IP, port, 套件 漏洞 的 修补 与 防火 墙 等 来 推 散 一 下 ， 该 如何 
做 好 Linux 


主机 的 防备 呢 ? 没有 永远 安全 的 主机 」 有 是 正确 的 言论 ， 所 以 ， 即使 
您 的 主机 只 是 一 


个 小 小 的 网 站 ， 也 千 万 不 能 忽略 这 个 防火 墙 的 认识 喔 ! 


在 『 区 网 常见 服务 器 架设 篇 | 当中， 我 们 会 介绍 内 部 网 络 经 常 使 用 的 远 
程 联 机 服务 


(ssh， vnc， xrdp)、 网 络 参数 设 定 服务 (dhcp， ntp)、 网 络 驱 动 右 服务 


(samba, nfs, 


iscsD)， 以 代理 服务 器 等 服务 。 “这些 章节 虽然 跳 着 看 是 没有 问题 的 ， 不 
过 ， 马 哥 建 议 


十 一 草 的 联机 服务 器 得 要 花 些 时 间 瞧 瞧 ， 尤 其 是 ssh 的 密 钥 系统 ， 对 于 
异地 备 援 是 相 








当 有 帮助 的 ! 
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在 『 在 因特网 服务 器 篇 | 当中 ， 我 们 会 介绍 DNS, WWW, FTP 及 mail 
server 等 常 


见 的 服务 。 在 因特网 上 面 要 使 用 较 好 记 的 主机 名 来 联机 ， 就 得 要 透 过 
DNS 系统 ， 因 此 ， 


这 个 DNS 服务 器 相当 重要 ! 在 这 一 版 的 DNS 加 入 了 view 的 简单 概 
已 9 可 以 适用 于 区 


网 内 的 主机 联网 ， 可 以 参考 看 看 。 


章节 的 安排 主要 仍然 是 由 浅 入 深 来 进行 编排 的 ， 因 此 ， 还 是 希望 读者 们 
可 以 由 前 面 


慢 慢 的 往 下 看 ， 不 要 独 急 的 直接 翻 到 后 面 去 抄 一 些 架 设 流程 喔 ! 而 
且 ， 几 乎 每 一 章节 


后 面 都 会 具有 一 些 简单 的 读 后 练习 题 ， “这 些 练习 题 有 的 是 乌 哥 参加 过 
的 考试 内 容 ， 有 


的 是 乌 哥 想到 的 一 些 数据 ， 很 适合 大 家 思考 喔 ! 不 要 错过 这 些 练习 题 的 
训练 喔 ! 


感谢 : 


感谢 自由 软件 社 群 志 工 们 的 软件 开发 ， 让 我 们 能 有 这 么 棒 的 操作 系统 来 
建 置 服务 器 ! 


也 要 感谢 读者 们 的 回馈 ， 让 马 哥 能 够 在 Linux 服务 器 的 原理 与 设 定 方面 
有 更 深入 的 了 


解 。 感 谢 Study Area 酷 学 园 伙伴 们 的 支持 ， 包 括 netman 大 大 、 酷 学 园 




















板 主 群 、 乌 


园 讨论 板 主 群 、 以 及 参加 实体 活动 的 诸位 有 朋友。 感谢 昆山 科大 资 传 系 张 
世 昭 主任 与 各 位 


老师 、 伙 伴 们 对 不 才 小 第 在 研究 方面 的 支持 ! 更 要 感谢 乌 哥 的 学 生 
们 ， 有 你 们 的 帮忙 ， 


让 鸟 哥 可 以 有 较 多 的 时 间 玩 些 服务 费 测 试 与 文章 的 撰写 ! 


最 后 ， 杀 爱 的 乌 媳 ， 谢 谢 你 多 年 来 的 付出 ， 尤 其 这 两 年 帮 我 们 家 话 了 两 
个 可 爱 的 宝 


贝 : 宕 宸 与 轩 轩 ! 希望 鸟 色 一 家 ， 以 及 所 有 的 朋友 们 平安 、 幸 福 ! 
鸟 哥 2011/08/18 
另外 ， 关 于 本 书 的 工 误 信息 ， 请 参考 : 
http://linux.vbird.org/book/ 
2003/07/14: 第 一 次 完成 日 期 ! 
2003/09/18: 加 入 一 些 说 明 ， 尤 其 是 各 个 服务 器 的 简介 。a 


2007/03/01: 取消 各 个 服务 器 的 简介 ， 太 占 篇 幅 了 ! 修改 初版 序 的 内 
容 ， 增 加 再 版 序 的 


部 分 。 
2007/03/01: 初版 序 我 将 他 拿 到 这 里 
2011/08/18: 二 版 序 移动 到 这 里 
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最 近 更 新 日 期 : 2011/07/14 


很 多 朋友 因为 目 喘 或 服务 单位 的 需求 ， 总 是 有 架设 各 种 网 络 服务 器 的 时 
刻 ， 这 个 时 候 大 多 数 的 前 幸 都 会 


推荐 他 们 使 用 Linux 做 为 服务 器 架设 的 操作 系统 。 但 因为 这 些 朋 友 很 多 
都 没有 受过 Linux 操作 系统 操 


作 方 面 的 训练 ， 因 此 总 觉得 反正 都 是 操作 系统 ， 所 以 Linux 应 该 也 跟 
Windows 差不多 吧 ! 那么 就 便 着 


头 上 及 使 用 图 形 接口 去 设 定 好 众多 的 服务 器， 也 有 可 能 参考 网 络 上 一 些 文 
章 ， 即 使 是 透 过 文字 接口 去 设 定 ， 


也 能 够 很 轻松 的 作 好 服务 器 的 染 设 。 问 题 是 ， 这 样 的 一 部 服务 名 是 很 容 
易 和 被 绑架 的 ， 而且， 如 果 网 络 不 


通 ， 你 如 何 自行 将 问题 克服 (trouble shooting)? 难道 出 问题 只 能 无 语 问 
苍天 ? 所 以 唉 ， 除非 你 只 是 


暂时 需要 染 设 网 络 服务 器 ， 可 以 请 朋友 或 其 他 信息 公司 帮 你 忙 ， 如 果 你 
本 身 就 是 信息 方面 的 服务 提供 两 ， 


那 乌 哥 建议 你 在 进行 服务 器 实务 设 定之 前 ， 看 一 看 这 篇 ， 试 试看 你 到 访 
有 没有 具备 网 络 服务 器 的 设 定 技 


能 了 呢 ? 




















1.1 前 言 Linux 有 哈 功 能 





1.1.2 架设 服务 器 难 不 难 呢 ? 


1.2 其 加 以 已 Ps 竹 品 





1.2.2-1 了 解 网 络 基 础 





0; 全 新 安装 
1.2.2-3_ 服务器 本 身 的 基本 操作 系统 操作 : 建立 账号 ， 修 改 权 限 ，Quota， 
LYM 











1.2.2-6 细部 权限 与 SELinux 





1.2.3 系统 安全 与 备份 处 理 
| 评估 是 否 已 经 具有 架设 服务 器 的 能 
1.4 本 章 习 题 





1.1 前 言 Linux 有 哈 功 能 


很 多 刚 接触 Linux 的 朋友 第 常会 问 的 一 句 话 束 是 ，『 我 学 Linux 就 是 为 
了 架设 服 


务 器 ， 既 然 只 是 为 了 架设 服务 器 ， 为 什么 我 还 要 学 习 Linux 的 其 他 功 
能 ? 例如 : 例 行 


性 工作 排 程 、Bash Shell ， 又 干 嘛 去 认识 所 有 的 登录 档 等 等 ， 我 又 用 不 
到 ! 此 外 ， 既 


然 有 好 用 的 Web 接口 的 Server 设 定 软件 ， 可 以 简单 的 将 网 站 架设 起 
来 ， 为 什么 我 还 


要 去 学 习 vim 手动 的 编辑 一 些 配置 文件 ?” 干 嘛 还 需要 去 理解 服务 器 的 工 
作 的 原理 ? ] 


上 面 这 些 话 对 于 刚刚 学 会 染 设 网 站 的 人 来 说 ， 真 是 蔡 他 们 道 出 了 一 个 新 








手 的 心声 啊 ! 不 


过 ， 对 于 任何 一 个 曾经 有 过 架设 公开 网 站 的 朋友 来 说 ， 上 面 这 些 话 ， 真 
的 是 会 害 死人 ! 


为 什么 呢 ? 底下 我 们 就 来 分 析 一 下 。 
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1.1.1 只 想 用 Linux 架设 服务 器 需要 啥 能 力 ? 


如 果 有 人 问 你 : [Linux ”最 强大 的 功能 是 什么 ?大概 大 家 部 会 回答 
[是 网 络 功能 


啊 ! 」， 接 下 来 ， 如 果 对 方 再 问 : 『 所 以 学 Linux 就 是 为 了 架设 服务 器 
嘱 ? 」 呵 呵 ! 


这 个 问题 可 就 见仁见智 哆 ! 说 穿 了 了 ， Linux 其 实 就 是 一 套 非常 稳定 的 操 
作 系 统 ， 任 何 


工作 只 要 能 在 Linux 这 个 操作 系统 上 面 跑 ， 那 他 就 是 Linux 可 以 达成 的 
功能 之 一 嗓 ! 


所 以 Linux 的 作用 实在 不 止 于 网 络 服务 器 的 架设 呐 。 


举例 来 说 ， 在 Linux 上 面 开 发 跨 平 台 的 数值 模式 (model) 诸如 大 型 的 大 
气 仿真 模 

式 ， 由 于 Linux 的 稳定 与 完善 的 资源 分 配 功 能 ， 使 得 在 Linux 上 面 开 发 
出 来 的 程序 运 

作 的 又 快 又 稳定 。 此 外 ， 诸 如 KDE, GNOME 等 漂亮 的 图 形 接口 ， 搭 配 
诸如 Open Office 


等 办 公 室 软件 ，Linux 立刻 摇 吴 一 变 而 成 为 优秀 的 办 公 室 架 面 计算 机 了 
(Desktop)。 此 





外 ，Google 制作 出 专门 给 手机 系统 用 的 Android 也 是 以 Linux 为 底 开发 
的 。 所 以 说 ， 


干 万 不 要 小 看 了 Linux 的 多 样 功能 响 。 


不 过 ， 不管 怎么 说 ， Linux 的 强大 网 络 功能 确实 是 造成 Linux 能 够 在 服 
务 器 领域 


内 占有 一 席 之 地 的 重要 项 目 。 既然 如 此 ， 我 们 就 好 好 的 来 探索 一 下 
Linux 的 网 络 世界 


吧 ! 首先 ， Linux 到 底 可 以 达成 哪些 网 络 功能 呢 ? 这 可 就 多 着 咯 ! 不 论 
是 WWW, Mail, 








FTP, DNS, 或 者 是 DHCP, NAT 与 Router 等 等 ，Linux 系统 都 可 以 达 
到 ， 而 且 ， 只 要 


一 部 Linux 惑 能 够 达到 上 面 所 有 的 功能 了 ! 当然 ， 那 是 在 不 考虑 网 络 安 
全 与 效能 的 情 


况 下 ， 你 可 以 使 用 一 部 Linux 主机 来 达成 所 有 的 网 络 功能 。 

但 是 你 得 要 知道 ，『 架 站 容易 维护 难 」 啊 ! 更 深 一 层 来 说 ，『 维 护 还 
好 、 除 错 更 难 

啊 ! 」 架设 一 个 网 站 有 什么 难 的 ?即使 你 完全 没有 措 过 Linux ， 只 要 各 
考 乌 哥 的 书籍 

或 者 是 网 站 ， 而 且 一 步 一 步 照 着 做 ， 包 准 你 一 个 下 午 就 可 以 架设 完成 五 
个 以 上 的 网 络 服 


务 了 ! 所 以 说 ， ”架设 服务 器 有 什么 难 的 ? 但 要 晓得 的 是 ， 这 样 的 一 个 
网 站 ， 多 则 三 天 ， 


少 则 数 小 时 ， 立 刻 就 会 被 入 侵 了 ! ”此 外 ， 被 入 侵 之 后 ， 或 许可 以 藉 由 
一 些 工 具 来 帮 你 


将 root 的 密码 救 回来 ， 可 异 的 是 ， 这 样 的 一 个 网 站 还 是 有 被 做 为 中 继 
站 的 危险 存在 





Wp 





的 ! 


另外 ， 如 果 你 使 用 工具 (例如 Webmin) 却 怎 么 也 架设 不 起 来 某 个 网 站 
时 ， 要 乱 公 


解决 ? 如 果 你 不 懂 该 Server 的 运作 原理 与 Linux 系统 的 除 错 讯 尽 ， 那 么 
难道 只 能 


语 问 苍 天 ? 不 要 怀疑 这 种 情况 的 可 能 性 ， ”参考 一 下 各 大 论坛 上 面 的 留 
言 就 可 以 很 清楚 


的 知道 这 种 情况 的 存在 有 越 来 越 明 显 的 趋势 呢 ! 


所 以 说 ， 架 设 服务 器 之 前 还 是 有 一 些 基 本 的 技能 需要 学 会 的 ! 而 且 这 些 
技能 是 [一 


是 学 会 之 后 ， 真 正 是 终身 受用 啊 ! 」 只 要 花 一 个 学 期 (三 ~ 六 个 月 ) 就 能 
学 会 一 辈子 可 


以 使 用 的 技能 ， 这 个 学 习 的 投资 报酬 率真 是 太 高 了 ! ”所 以 ,一 开始 的 


学 习 不 要 觉得 苦 ， 


那 真 的 是 值得 的 喔 ! 和信 
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Tips: 
举例 来 说 ， 乌 哥 在 2003 ~ 2005 年 跑 去 当 兵 了 ， 当 兵 期 间 很 少 碰 


Linux 啦 ! 等 到 退伍 后 接 到 的 第 一 个 班 要 融 Linux 国际 证 照 时 ， 几 





乎 所 有 的 指令 都 在 看 不 起 马 哥 @_@ 一 个 过 

懂得 学 习 的 方法 的 乌 哥 ， 

透 过 man 啦 ， 透 过 google 啦 ， 透 过 以 前 学 习 的 一 些 概念 啦 ， 遇 

到 问题 几乎 都 可 以 在 一 分 钟 内 解决 ， 同 学 也 不 会 有 突然 不 知 所 云 的 
困扰 ! 你 说 ， 这 样 是 不 是 很 好 呢 ? 


Linux 不 是 很 好 学 ， 根 据 乌 可 过 去 教学 的 经 验 ， 很 多 同学 在 学 Linux 时 
真是 非常 的 痛 


苦 ， 不 过 学 完 之 后 ， 以 前 在 Windows 上 面 遇 到 的 困难 却 也 自然 而 然 的 
迎刃而解 ! 因为 

Linux 训练 我 们 时 ， 是 要 我 们 去 解决 一 个 发 现 的 问题 ， 这 过 程 需要 很 多 
基础 知识 的 培 

养 ， 所 以 学 完 他 之 后 ， 你 会 觉得 很 多 事情 都 变 的 很 简单 而 单纯 。 但 如 果 
使 用 Windows 的 

懒 人 方案 ， 很 多 问题 就 不 可 能 了 解 为 哈 会 发 生 与 为 哈 可 以 这 样 处 理 了 ! 
我 们 会 在 下 一 节 


分 析 一 下 架设 服务 器 的 流程 ， 也 会 提供 相对 应 的 你 应 该 要 会 的 Linux 技 
能 喔 ! 























1.1.2 架设 服务 器 难 不 难 呢 ? 


不 管 是 人 还 是 Linux ， 要 架设 好 一 部 堪 称 完美 的 服务 器 ，『 基 
本 功课 」 还 


是 得 做 的 ， 这 包括 了 : 
1. 基础 网 络 的 基本 概念 ， 以 方便 进行 联网 与 设 定 及 除 错 ; 


人 的 简易 操作 : 包括 登录 分 析 、 账 号 管理 、 文 书 编辑 器 的 


等 的 技巧 ; 

3. 信息 安全 方面 : 包括 防火 增 与 软件 更 新 方面 的 相关 知识 等 等 ; 

4. 该 服务 器 协议 所 需 软件 的 基本 安装 、 设 定 、 除 错 等 ， 才 有 办 法 实 作 。 
而 且 ， 每 一 个 项 目 里 面 所 需要 学 习 的 技巧 可 多 者 呢 ! 

[什么 ?要 学 的 东西 那么 多 啊 ! ] 


是 啊 ! ”所 以 ,不 要 以 为 信息 管理 人 员 整 天 用 用 没事 干 的 响 ， 大 家 可 十 
天 天 在 出 卖 知 识 


的 ， 同 时 ， ”还 得 天 天 应 付 随时 可 能 会 发 生 的 各 种 漏洞 与 网 络 攻 击 手法 
呢 ! 真 不 是 人 干 


的 下 人生 


0 
简单 的 哩 ! 


喷 ! 一 怎么 又 议 淋 设 服务 器 简单 了 ? 不 是 说 架设 服务 器 难 吗 ? 呵呵 ! 
其 实 『 架 设 服务 


器 很 难 」 是 由 于 朋友 们 学 习 的 角度 有 点 偶 普 的 原因 啦 ! ”还 记得 当初 进 
入 理工 学 院 的 时 


候 ， 天 天 在 念 的 东西 是 基础 物理 、 基 础 化 学 、 工 程 数 学 与 流体 力学 等 基 
础 科目 ， 这 些 


科目 花 了 我 们 一 至 两 学 期 的 时 间 ， 而 且 内 容 还 很 难 响 一 都 是 一 大 堆 的 理 
论 背 不 完 。 怪 




















了 ? 我 们 进 理 工学 院 是 为 了 求 取 更 高 深 的 知识 ， 那 么 这 些 基础 知识 学 了 
有 什么 用 呐 ? 


呵呵 ! 更 高 深 的 知识 都 是 建构 在 这 些 基 本 科目 的 理论 上 面 的 ， 所 以 “万 
一 你 基础 的 科目 








没有 读 好 ， 那 么 专业 科目 里 面 提 到 的 基本 理论 怎么 可 能 听 的 懂 ? 


这 样 说 应 该 就 不 难 了 解 了 吧 ! 没 错 ! 认识 操作 系统 与 该 操作 系统 的 基本 
操作 ， 还 有 


那个 重要 的 网 络 基 础 ， ”就 是 我 们 在 架设 服务 器 前 的 『 基 础 科目 1」 啦 ! 
所 以 说 ， 在 进入 
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Linux ”的 服务 器 世界 之 前 ， 真 的 不 能 够 略 过 网 络 基 础 的 相关 知识 ， 同 
时 ， Linux 系统 


的 基本 技能 也 必需 要 能 够 理解 响 ! 
2 0 Linux 系统 里 面 『 什 么 是 很 重要 的 知识 」 不 其 了 
年 ， 未 





如 此 的 话 ， 那 么 我 们 残 举 个 简单 的 例子 来 说 明 一 下 哎 ! 底下 列 出 一 般 的 
架设 服务 器 流程 ， 


我 们 由 架设 服务 器 的 流程 当中 ， 来 看 一 看 什么 是 重要 的 Linux 相关 技能 
吧 ! A_A。 





Tips: 
在 这 一 章 当 中 ， 鸟 哥 不 再 就 linux 基础 指令 进行 解析 ， 因 为 在 了 鸟 
里 面 已 经 详细 的 介绍 过 了 ! 如 





果 持 续 的 介绍 指令 ， 简 直 是 溪 费 篇 幅 一 所 以 底下 仅 介 绍 一 个 Linux 
基础 学 习 重 要 性 的 分 析 喔 ! 

1.2 基本 架设 服务 器 流程 

0 OE me 





过 ， 每 种 服务 器 由 规划 、 染 设 到 后 续 的 安全 维护 ， 其 实 整个 流程 是 大 
同 小 异 的 。 什 么 ? 


你 不 相信 啊 ? 为 了 让 你 相信 ， 那 我 们 就 来 一 项 一 项 的 分 析 看 看 吧 ! 
1.2.1 网 络 服务 器 成 功 联机 的 分 析 


底下 我 们 就 整个 服务 器 的 简易 淋 设 流程 当中 来 分 析 一 下 ， 以 了 解 为 什么 
了 解 操 作 系 


统 的 基础 对 于 网 站 维护 是 相当 重要 的 呢 ? 首先 ， 到 底 我 们 是 如 何 联机 到 
服务 器 的 ? 联 


机 到 服务 器 又 取得 啥 噬 略 ?我 们 先 以 底下 这 张 儿 示 来 作 个 简单 的 次 明 好 
了 : 
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伺服 怖 变 定 值 


http, ftp, samba... 


| 

| 

防火 粮 

| iptables, tcp_ wrappers 
| 


权限 的 徊 部 设 定 
SELInUX 


Internet 





档 灾 系 先 的 权限 


ER 


图 1.2-1、 网 络 联机 至 服务 器 所 需 经 过 的 各 项 环节 


0 到 底 我 们 联机 到 服务 器 想 要 得 到 什么 ? 举例 来 说 ， 你 联 
LL 人 a! 


Youtube ” 想 要 看 影片 ， 所 以 对 方 束 提供 影片 串 流 数据 给 你 ; 你 连 到 
Yahoo 想 要 看 新 闻 ， 


所 以 对 方 束 提供 新 闻 的 文本 文件 给 你 ; 你 联机 到 无 名 小 站 想 要 看 美女 ， 
对 方 束 传 图 档 给 


你 ;你 联机 Facebook 想 要 去 种 田 ， 对 方 束 参 考 你 之 前 留 下 来 的 记录 ， 
从 数据 库 里 面 将 


你 的 记录 拿 出 来 传 给 你 。 看 到 没有 ， 你 联机 到 服务 器 ， 重 点 在 取得 对 方 
的 数据 ， 而 一 


般 数 据 的 存在 就 是 使 用 档案 哆 ! 那 你 有 没有 权限 取得 ? 最 终 与 该 文件 系 
统 的 设 定 有 关 啦 ! 


上 图 显示 的 是 : 首先 ， 客 户 问 到 服务 器 的 网 络 要 能 够 通 ， 等 到 客户 亲 到 
达 服 务 器 后 ， 


会 先 由 服务 器 的 防火 增 判 断 该 联机 能 个 放行 ，“ 等 到 放行 之 后 才能 使 用 














到 服务 器 软件 的 


功能 。 而 该 功能 又 得 要 通过 SELinux 这 个 细部 权限 设 定 的 项 目 后 ， 才 能 
够 读 取 到 文件 


系统 。 但 能 不 能 读 到 文件 系统 呢 ? 这 又 跟 文件 系统 的 权限 (rwx) 有 关 
啦 ! 上 述 的 每 个 


部 分 都 要 能 够 成 功 ， 人 否则 就 无 法 顺利 读 取 数据 吃 。 


所 以 ， 根 据 上 面 的 流程 我 们 大 概 可 以 将 整个 联机 分 为 几 个 部 分 ， 包 括 : 
网 络 、 服 务 


器 本 身 、 内 部 防火 墙 软件 设 定 、 各 项 服务 配置 文件 、 细 部 权限 的 
SELinux 以 及 最 终 最 


重要 的 档 妥 权限。 底下 整 分 儿 个 细 项 来 谈 谈 吕 。 
1. 网 络 : 了 解 网 络 基础 知识 与 所 需 服 务 之 通讯 协议 
既然 要 染 设 服务 器， 首先 当然 得 要 了 解 一 下 因特网 。 因 为 不 管 是 哪 种 操 











作 系 统 ， 

若 想 要 与 因特网 联机 ， 这 个 网 络 基 础 就 得 了 解 。 “举例 来 说 ，『 网 域 ] 
是 经 常会 

谈 到 的 概念 ， 当 你 发 现 一 个 设 定 为 192.168.1.0/255.255.255.0 时 ， 晓 得 
那 是 


网 如 果 不 知 道 的 话 ， 呵 呵 ! 绝对 无 法 设 定好 网 站 的 啦 ! 
另外 ， 大 


何 你 需要 服务 器 ?当然 是 想 要 达成 条 项 网 络 服务 。 举例 来 说 ,传输 档 


案 可 以 用 





FTP， 那 WWW 可 以 传递 档案 吗 ? 网 芳 可 以 传递 吗 ? 各 有 何 用 处 ? 哪个 
比较 方便 ? 


对 于 客户 或 老板 来 说 ， 我 们 所 设 定 的 服务 能 售 满 足 他 们 的 需求 等 等 ， 这 








襄 
解 ， 否 则 你 将 一 头 筋 水 啊 ! 因此 这 部 份 你 就 得 要 了 解 : 
net.qiang@hotmail.com 

0 基本 的 网 络 基础 知识 :包括 以 太 网 络 硬件 与 协议 、TCP/IP、 网 络 联机 
所 需 参 数 等 ; 


各 网 络 服务 所 对 应 的 通讯 协议 原理 ， 以 及 各 通讯 协议 所 需 对 应 的 软 


2. 服务 器 本 号: 了 解 架 网 络 服务 圳 之 目的 以 配合 主机 的 安 朔 规划 


想 要 架设 服务 器 吗 ? 那 .. 架 什么 服务 器 ? 这 个 服务 器 要 不 要 对 Internet 
开放 ? 


这 个 服务 要 不 要 针对 客户 提供 相关 账号 ? ”要 不 要 针对 不 同 的 客户 账号 
进行 例如 
0 
限制， 


那 服务 器 操作 系统 应 该 要 如 何 安装 与 设 定 ? 问题 很 多 吧 ! 所 以 ， 先 了 解 
你 要 的 服 


和 不 过 ， 如 果 架 站 只 是 
为 了 


sa 








功 」 而 已 ， 呵 呵 ! 那 束 不 需要 考虑 太 多 了 ~ 
3. 服务 器 本 里 : 了 解 操作 系统 的 基本 操作 


网 络 服务 软件 是 需要 建 置 在 操作 系统 上 面 的 ， 所 以 基本 的 操作 系统 操作 
就 得 要 了 


he 如 何 让 系统 进行 例 行 的 工作 管 
理 ? 如 何 





依据 服务 器 服务 之 目的 规划 文件 系统 ? 如 何 让 文件 系统 具有 未 来 扩充 性 
(LVM 


之 闫 )? ， 系 统 如 何 官 理 各 项 服务 之 月 动 ? 系统 的 开机 流程 为 何 ? 系统 出 


错时 ， 访 

如 何 进行 快速 复原 等 等 ， 这 都 需要 了 解 的 呢 ! 

4. 内 部 防火 墙 设 定 : 管理 系统 的 可 分 享 资源 
本 








的 默认 值 就 已 经 开放 很 多 服务 给 Internet 使 用 了 ， 不 过 这 些 服 务 可 能 
不 是 你 


想 要 开放 的 呢 。 我 们 在 了 解 网 络 基 础 与 所 需 服 务 的 目的 之 后 ，” 接 下 来 


就 是 透 过 


防火 墙 珊 范 可 以 使 用 本 服务 器 服务 的 用 户 ， 以 让 系统 在 使 用 上 拥有 久 
1 控 管 


情况 。 ”此 外 ， 不 管 你 的 防火 墙 系统 设 定 的 再 怎么 严格 ， 只 要 是 你 要 开 
放 的 服务 ， 


We 
刀 制 残 


一 定 要 定期 进行 ! 否则 你 的 系统 将 会 非常 非常 的 不 安全 ! 


5. 服务 器 软件 设 定 : 学 习 设 定 技巧 与 开机 是 否 目 动 执行 








刚刚 第 一 点 就 提 到 我 们 得 要 知道 每 种 服务 所 能 达成 的 功能 ， 如 此 一 来 才 
能 够 架设 


J 那 你 所 需要 的 服务 是 由 哪个 软件 达成 的 ? 同 
一 


可 否 有 不 同 的 软件 ? 每 种 软件 可 以 达成 的 目的 是 否 相同 ? ”依据 所 需要 





的 功能 如 


何 设 定 你 的 服务 器 软件 ? 架设 过 程 中 如 有 果 出 现 错误 ， 你 该 如 何 观察 与 除 
错 ? 可 


与 错误 友 


0 能 否 通 知 多 个 用 户 进 行 联机 测试 ， 以 取得 较 佳 的 服务 器 设 
定 值 ? 所 


以 这 里 你 可 能 就 得 要 知道 : 
0 软件 如 何 安装 、 如 何 碍 询 相 关 配 置 文件 所 在 位 置 ; 
0 服务 器 软件 如 何 设 定 ? 
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0 

0 服务 器 软件 如 何 局 动 ? 如何 设 定 上 自动 开机 启动 ?如何 观 察 局 动 的 吉 
口 ? 

0 服务 器 软件 激活 失败 如 何 除 错 ? 如 何 观察 登录 档 ? 如 何 透 过 登录 档 





进行 除 错 ? 
o 透 过 客户 端 进行 联机 测试 ， 如 果 失 败 该 如 何 处 理 ? 联机 失败 的 原因 是 
服务 器 还 是 防火 墙 ? 











o 服务 器 的 设 定 修改 是 否 有 建立 日 志 ? 登录 档 是 否 有 定期 分 析 ? 
0 服务 器 所 提供 或 分 至 的 数据 有 无 定期 备份 ”如何 定期 自动 备份 或 异 
地 备份 ? 


6. 细部 权限 设 定 : 包括 SELinux 与 档案 权限 


等 到 你 的 服务 器 全 部 设 定 受 当 ， 最 后 你 所 提供 的 档案 数据 权限 却 是 给 了 
『 000 ] 


0 那 乌 哥 很 肯定 的 说 ， 大 家 都 无 法 读 到 你 所 提供 的 数据 
啊 ...! 此 外 ， 


新 的 distributions 都 建议 你 要 启动 SELinux ， 那 是 什么 吹 噬 ? 如 果 你 的 

















0 
具有 保 


~、 


密 性 或 共享 性 (档案 权限 概念 与 ACL 等 ) 等 等 ， 这 也 都 是 需要 厘清 的 观 
念 喔 ! 
亲人 . 


上 述 的 服务 器 架设 流程 中 ， 其 实 除了 第 5 点 之 外 ， 其 他 步骤 在 各 服务 器 
设 定 都 需 


要 了 解 啊 ! 而 且 都 是 一 样 的 东西 说 ! 因此， 这些 基础 如 果 学 会 了 ， 最 
终 ， 你 只 要 知道 


第 5 点 里 面 那个 软件 的 基础 设 定 ， 你 的 服务 器 一 下 子 就 可 以 设 定 完成 
啦 ! 这 样 说 ， 你 


是 否 开始 觉得 基础 学 习 很 重要 啊 ! 人 人 
1.2.2 一 个 常见 的 服务 器 设 定案 例 分 析 


上 面 讲 完 后 或 许 你 还 是 不 很 清楚 到 底 这 些 技能 如 何 串 起 来 ? 乌 哥 这 里 提 


供 一 沾 何 











单 的 案例 来 分 析 一 下 好 了 ， ”这 样 你 应 该 就 比较 容易 清楚 的 知道 为 何 需 
要 学 习 这 些 唉 鸣 。 


网 络 环境 : 假设 你 的 环境 里 面 (不 管 是 家 里 还 是 答 舍 ) 共有 五 部 计算 
儿 ， 这 


五 部 计算 机 需要 串 接 在 一 起 ， 且 都 可 以 对 外 联机 ; 
2 你 的 环境 只 有 一 个 对 外 的 联机 方式 ， 这 里 假设 是 台湾 较 流 


ADSL 或 10M 的 光纤 这 种 透 过 电话 线 拨 接 的 类 型 ， 


0 
以 做 为 


网 络 驱 动 器 机， 提供 同学 或 家 人 作为 数据 备份 与 分 诗 之 用 ; 


服务 器 管理 : 由 于 你 可 能 需要 进行 远程 管理 ， 因 此 你 这 部 服务 器 得 要 
开放 联 


机 机 制 ， 以 让 远程 计算 机 可 以 联机 到 这 部 主机 来 进行 维护 ; 
防火 墙 管 理 ， 因为 担心 这 部 做 为 档案 分 享 服务 器 的 系统 被 攻击 ， 因 此 


你 需要 








针对 IP 来源 进行 登入 权力 的 控制 ; 


账号 管理 : 另外 ， 由 于 同学 的 数据 有 隐 密 与 共享 之 分 ， 因 此 你 还 得 要 
提供 每 


个 同学 个 别 的 账号 ， 且 每 个 账号 都 有 磁盘 容量 的 使 用 限制 ; 
net.qiang(Ohotmail.com 


0 





析 磁 盘 
使 用 量 、 登 录 文件 参数 信息 等 等 。 


在 上 述 的 环境 中 ， 你 要 考虑 的 东西 有 哪些 昵 ?依据 本 小 市 一 开始 谈 到 的 





六 个 步骤 来 
分 析 的 话 ， 你 可 能 需要 底下 这 些 吃 吃 喔 ! 
1.2.2-1 了 解 网 络 基础 

硬件 规划 


我 们 想 要 将 五 部 计算 机 串 接 在 一 块 ， 但 是 却 又 只 有 一 个 可 以 对 外 的 联 
机 ， 此 时 就 得 

要 购买 集线器 (hub) 或 者 是 交换 器 (switch) 来 串 接 所 有 的 计算 机 了 。 但 
是 这 两 者 有 

何不 同 ? 为 何 switch 比较 贵 ? 我 们 知道 网 络 线 被 称 为 RJ-45 的 网 络 线 ， 
但 网 络 线材 


竟然 有 等 级 之 分 ， 这 个 等 级 要 怎么 分 辨 ? 不 同等 级 的 线材 速度 有 没有 差 
异 ? 等 到 这 些 硬 


件 基础 了 解 之 后 ， ”你 才能 够 针对 你 的 环境 来 进行 联机 的 设计 。 这 部 份 
我 们 等 到 下 一 章 











再 来 介绍 。 
联机 规划 


由 于 只 有 一 条 对 外 联机 而 已 ， 因 此 通常 我 们 就 建议 你 可 以 用 如 下 的 方式 
来 串 接 你 的 


网 络 : 

图 1.2-2、 硬 件 的 网 络 联机 示意 图 

透 过 ”IP 分享 器 ， 我 们 的 五 部 计算 机 就 都 能 够 上 网 了 。 此 时 你 得 要 注 
和 网 





与 Internet 有 关 ，Internet 束 是 那 有 名 的 TCP/IP 通读 协议， 而 想 要 了 解 
网 络 就 得 


要 知道 啥 是 _ OSI 七 层 协定 。 我 们 也 知道 能 连 上 Internet 与 所 谓 的 IP 有 
天 ， 那 么 我 


们 内 部 这 五 部 计算 机 所 取得 的 IP 能 不 能 使 来 架 站 ? 也 就 是 说 ， IP 有 没 
有 不 同 种 类 ? 


如 果 IP 分 享 器 突然 挂 了 ， 那 你 的 这 五 部 计算 机 能 不 能 联机 玩 魔 壮 ? 这 
就 考虑 你 的 网 络 


参数 设 定 问题 了 ! 
网 络 基础 
net.qiang@hotmail.com 


0 


如 果 你 的 同学 或 家 人 跑 来 跟 你 说 ， 网 络 不 通 哩 ! 你 直觉 会 是 什么 ? 硬件 
问题 ? 软件 


问题 ? 还 是 喻 英名 其 妙 的 问题 ?7 如 果 你 不 懂 网 络 基础 的 卫 相关 参数 ， 
包括 路 由 设 定 





以 及 领域 名 系统 (DNS) 的 话 ， 肯 定 不 知道 怎么 进行 联机 测试 的 。 所 以 
吃 ， 此 时 你 就 会 


被 号 说 : 『 怎 么 都 不 懂 还 想 要 省 理 我 们 家 网 络 」... 那 时 不 是 很 粮 吗 ? 所 


以 要 学 好 一 些 


嘛 ! ”这 部 份 就 很 复杂 了 ， 包括 TCP/IP, Network IP, Netmask IP, 
Broadcast IP, 








Gateway, DNS IP 等 等 ， 都 需要 理解 喔 ! 


了 解 了 这 些 原理 之 后 ， 你 才能 够 进行 除 错 (debug) 的 工作 ， 人 否则 ， 错 误 
Yera 


1 小 


可 能 就 会 被 可 的 具 头 的 ! ”最 常见 的 错误 中 ， 举 例 来 说 ， 如 果 你 的 主机 
明明 就 可 以 使 用 


ping 这 个 指令 去 接触 远方 的 主机 (ping IP)， 但 是 就 是 无 法 使 用 ping 
hostname 去 接 


触 远方 的 主机 ， 请 问 ， 这 个 原因 是 什么 呢 ? 了 解 网 络 基 础 的 朋友 一 看 就 
知道 几乎 是 DNS 


出 问题 了 ， 不 晓得 的 朋友 就 是 想 破 头 也 得 不 到 答案 。 既 然 知 道 出 问题 的 
地 方 ， 就 能 够 针 


对 该 问题 去 处 理 嘛 ! 


网 络 基 础 会 影响 到 你 的 网 络 设 定 是 否 正 确 ， 这 真 的 很 重要 响 ， 因 为 ， 如 
果 你 的 网 络 


不 通 ， 那 么 即使 服务 怖 架设 成 功 了 ， ”别人 可 以 看 的 到 吗 ? 所 以 说 ， 要 
架 站 ， 真 的 得 对 





网 络 基础 的 部 分 下 一 些 功夫 才 行 的 。 关 于 网 络 基 础 这 部 份 我 们 在 基础 篇 
并 没有 谈 过 ， 所 





1.2.2-2 服务 器 本 身 的 安装 规划 与 架 站 目的 的 搭配 
如 同 图 1.2-2 所 示 ，Server 端 是 在 那 五 部 计算 机 之 中 ， 而 且 Server 必须 


要 提供 


针对 不 同 账号 给 予 网 络 驱 动 右 机 ， 我 们 这 边 会 提供 网 方 (SAMBA) 这 个 
服务 ， 因 为 他 可 


以 在 Linux/Windows 之 间 通 用 之 故 。 且 由 于 需要 提供 账号 给 使 用 者 ， 
以 及 想到 未 来 的 


磁盘 扩充 情况 ， 因 此 我 们 想 要 将 /home 独立 出 来 ， 且 使 用 LVM 这 个 管 
理 模 式 ， 并 搭 


配 Quota 机 制 来 控制 每 个 账号 的 磁盘 使 用 旱 。 


所 以 说 ， 你 得 知道 Linux 目录 下 的 _FHS (Filesystem Hierarchy Standard) 
的 规 


范 ， 人 否则 分 割 槽 给 到 错误 的 目录 ， 会 造成 无 法 开机 ! 那 为 什么 要 将 
/home ,独立 放 入 


个 分 割 槽 ? 那 是 因为 quota 仪 支持 filesystem 而 不 支持 单一 日 录 啊 ! 好 
了 ， 如 果 给 


你 一 部 全 新 的 主机 ， 那 你 该 如 何 安装 你 的 系统 呢 ? 

实 作 题 -全 新 安装 : 

请 到 昆山 科大 (http://ftp.ksu.edu.tw/FTP/CentOS/), 义 守 大 学 
(http://ftp.isu.edu.tw/pub/Linux/CentOS/) 或 国家 高 速 网 络 中 心 
(http://ftp.twaren.net/Linux/CentOS/ ) 下 载 最 新 的 Linux 映像 档 来 刻录 
(2011/07 可 下 载 最 新 版 为 CentOS 6.0)， 并 且 依 据 上 述 的 需求 安装 好 你 的 


Linux 


系统 (最 重要 的 其 实 就 是 那个 分 割 而 已 ， 其 他 的 动作 可 以 在 安装 完成 后 











再 说 )。 


人 。 
DEI 。 
由 于 Linux 的 安装 我 们 已 经 在 基础 篇 内 的 第 四 童 介绍 过 了 ， 这 里 我 们 不 
再 使 


用 图 形 接 口 来 说 明 ， ” 仅 使 用 文字 说 明 来 介绍 你 在 每 个 项 目 应 该 处 理 的 
动作 而 已 。 
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此 外 ， 由 读者 们 的 啊 应 发 现 ， 学 习 者 经 常 只 有 一 部 主机 ， 因此， 这 里 
我 们 建议 你 


使 用 Virtualbox (http://www.virtualbox.org/) 来 仿真 出 一 部 实体 主机 ， 以 
2 








法 你 的 测试 环境 。 并 请 注意 ， ”这 部 主机 将 会 使 用 在 本 书 的 各 个 章 厄 测 


试 中 








Virtualbox ”的 安装 与 设 定 请 自行 参考 其 官网 上 面 的 ”Documentation 介 
绍 ， 这 里 不 


再 歼 言 。 只 是 需要 注意 的 是 ， 若 (1) 需 要 架设 网 站 来 上 网 ， 建 议 网 络 使 
用 桥接 模 


式 (bridge) ， 且 网 络 卡 类 型 使 用 Intel 的 桌面 计算 机 类 型 即 可 。 (2) 由 于 
我 们 











未 来 会 教导 NAT 服务 器 ， 因 此 最 好 有 两 张 网 卡 ， 一 张 使 用 bridge 一 张 
使 用 内 网 


(intnet) 较 佳 。 而 (3) 人 磁盘 配置 建议 使 用 SATA 类 型 ， 且 容量 请 给 予 
25GB 以 上 。 


(4) 内 存 至 少 该 给 予 512MB 以 上 ， 最 好 有 1GB 来 测试 。 其 他 的 请 参考 
官网 文件 ， 





或 者 使 用 默认 配置 即 可 。 当 然 啦 ， 如 果 你 有 独立 的 实体 机 口 来 安装 ， 


就 更 好 了 ! 

不 需 理会 这 一 小 段 文字 的 说 明 喔 。 

默认 配置 如 下 : 
分 割 表 请 依 如 下 方式 进行 : 

0/:2GB 

o /boot: 200MB 

o /usr : 4GB 

o /var : 2GB 

o /tmp : 1GB 

o swap : 1GB 

0 /home: 5GB， 并 且 使 用 LVM 模式 建 置 

o 其 他 容量 请 保留 ， 未 来 再 来 进行 额外 练习 ! 
软件 挑选 时 ， 请 选择 『 basic server 」 项 目 即 可 ; 





信息 安全 部 分 ， 防 火 墙 选择 启动 ，SELinux 选择 强制 (Enforce); 





那 


假设 IP 分 享 器 有 目 动 分 配 IP 的 功能 ， 所 以 网 络 参 数 先 选择 DHCP 即 


可 ”未 来 再 目 己 修改 ; 
实际 流程 大 致 如 下 ( 乌 哥 以 CentOS 6.0 为 例 说 明 ) 


由 于 我 们 使 用 光驱 开机 来 安装 系统 ， 因 此 得 先进 入 BIOS ， 选 择 光驱 


机 ， 并 且 将 CentOS 6.x 的 DVD 放 入 光驱 中 ; 


2. 在 启动 安装 的 画面 中 ， 选 择 『Install or upgrade an existing system | 

来 安装 新 系统 ; 

3. 出 现 『 Disc Found 」 和 字样 ， 此 时 建议 可 以 选择 『 Skip 」 即 可 略 过 ; 

4. 在 欢迎 画面 以 鼠标 点 选 『 Next 」 ; 

5. 语系 数据 可 以 选择 『Chinese(Traditional)( 中 文 (正体 ))]; 

6. 键盘 格式 保留 『 美 式 英文 ] 即 可 ; 

7. 安装 包含 的 装置 类 型 ， 直 接 选择 默认 的 『 基 本 储存 装置 上 」 即 可 :; 
因为 我 们 是 全 新 的 硬盘 ， 因 此 会 出 现 一 个 找 不 到 分 割 表 的 错误 ， 此 时 





择 [重新 初始 化 」 即 可 ; 
9. 进入 网 络 主机 名 的 设 定 ， 先 保留 『localhost.localdomain」 即 可 。 同 
画面 中 还 有 一 个 [配置 网 络 」 的 选项 ， 我 们 先 不 要 动 他 ! 等 未 来 谈 到 网 


络 设 
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新 增 分 割 区 




















档案 系统 持 载 味 (M) ;| | 
档案 系统 类 型 (T) : 。 | ext4 2 | 
可 使 用 的 磁 碟 机 (D) : 

che DT 
额外 的 大 小 选项 


®@ 固定 大 小 (F) 

〇 填 注 分 割 区 直到 (MB) (U) : 

〇 填 注 分 割 区 至 可 使 用 的 最 大 值 (a) 
口 强制 成 痪 主要 分 割 区 (p) 

口 加 密 (E) 





”取消 (C) | | 确定 (OQ) | 





定 再 来 处 理 即 可 ; 

10. 进入 时 区 选择 ， 请 选择 『 亚 洲 / 合 北 」 即 可 ; 

11. 出 现 root 密码 制作 ， 这 里 我 们 先 设 定 为 『 centos 」 吧 ! 这 个 密码 
太 简单 ， 系 统 会 出 现 营 告 ， 你 选择 『 照 样 使 用 】 即 可 。 你 也 可 以 目 行 设 


12. 出 现 哪 一 类 型 安装 的 模式 ， 因 为 我 们 有 上 自己 的 分 割 考虑 ， 所 以 ， 请 


选择 
『 建立 目 定 义 分 割 格 式 」 来 处 理 喔 ! 


13. ”在 出 现 分 割 画 面 中 ， 先 点 选 『sdaj 项 目 ， 然 后 点 选 『 建 立 」 的 按 
钮 ， 


在 出 现 的 窗口 中 ， 再 点 选 『 标 准 分 割 区 」 项 目 ， 然 后 点 [建立 ] 。 在 
最 后 


的 窗口 中 填写 挂 载 点 、 容 量 等 信息 后 ， 最 终 按 下 『 确 定 」 即 可 。 节 终 男 

















图 1.2-3、 分 割 的 参数 下 达 示 意图 
14. 依据 前 面 的 分 割 规划 ， 持 续 进 行 上 述 的 动作 ， 将 所 有 的 分 割 都 处 理 


完毕 ， 

终了 /home 之 外 。 

15. 由 于 /home 想 要 使 用 LVM 的 方式 来 建立 文件 系统 ， 因 此 点 选 『 建 
立 ] 

J [LVM 实体 卷 册 」 项目 ， 按 下 建立 ， 在 出 现 的 分 割 窗口 中 容 
量 填 写 


5GB， 示 意图 有 点 像 这 样 : 


除 
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新 增 分 割 区 








档案 系统 措 载 点 (M) : 
档案 系统 类 型 ( 工 ) : physical volume (LVM) ^ 
可 使 用 的 磁 碟 机 (D) : 
大 小 (MB) (S) : Fo I 所 
额外 的 大 小 脖 项 
图 固定 大 小 (F) 
〇 填 涝 分 割 区 直到 (MB) (U) ; 
〇 填 渭 分割 区 至 可 使 用 的 最 大 值 (a) 
口 强制 成 为 主要 分 割 区 (p) 
口 加 密 (E) 


| 取消 (C) | | 确定 (QO) | 





图 1.2-4、 分 割 出 LVM 分 割 槽 的 方式 


接 下 来 回 到 原本 的 分 割 男 面 后 ， 按 下 『 建 立 」 并 选择 [LVM 卷 册 群 
组 」】 项 目 ， 


在 出 现 的 窗口 中 ， 卷 册 组 名 填写 『server」， 并 且 在 右 下 方 的 逻辑 卷 册 


部 分 


We 
数 啦 ! 


注意 ， 逻 辑 卷 册 我 们 这 里 设 定 为 myhome 喔 ! 画面 有 点 像 底 下 这 样 : 
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建立 LVM 举 册 群 组 


崔 山 群 组 名 本 (V) : server < | 
实体 局 区 (P) : 14 MB 1 人 


| 器 sda2 5000.00 MB 



























































要 使 用 的 实 硒 岩 册 
建立 带 辑 沧 册 
和 " 
已 用 空间 : ; Fi 
利夫 空间 : ”| 档案 系统 类 型 (E) : 。 | ext4 $ 
ok 
还 辑 举 山 (L) ” 
大 小 (MB) (S): 4996 
泪 提 着 山名 . 
(最 大 空间 为 4996 MB) | 新 增 (A) | 
| 取消 (C) | | 确定 (O) | | 炉 辑 (E) | 
一 除 (D) | 
大 小 持 载 加 / 
sa (MB) ，RAID/ 关 遇 mk 和 
也 LVM 郑 责 群 组 
v Server 4996 
myhome 4996 /home ext4 V 
也 硬 碟 
v sda 
sdal 200 /boot ext4 Vv 
sda2 5000 server physical volume (LVM) VY 
sda3 4000 /usr ext4 Vv 
~ sda4 16399 延伸 
sda5 2000 / ext4 ye 


图 1.2-5、 建 立 最 终 的 LVM 的 LV 与 home 


Rm 最 终 的 显示 有 扩 像 确 下 这 样 ， 然 后 请 按 下 『 下 一 
步 ] 


继续 。 ”但 由 于 新 建 分 割 需 要 格式 化 ， 所 以 又 会 出 现 一 个 警告 窗口 ! 没 
问题 


的 ， 选 择 『 格 式 化 上 以 及 『 将 变更 写 至 磁盘 」 吧 ! 

图 1.2-6、 分 割 的 最 终结 果 
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必 

16. 出 现 启 动 加 载 程序 作业 ， 痢 使 用 默认 值 即 可 ， 请 按 『 下 一 步 」; 

17. 出 现 安装 类 型 ， 因 为 我 们 主机 的 角色 为 服务 器 ， 因 此 选择 『Basic 
J 项 目 ! 其 他 项 目 保留 默认 ， 然 后 按 下 『 下 一 步 」 就 开始 进行 安 


程序 哆 ! 
18. 经 过 一 段 时 间 的 等 待 ， 出 现 重新 局 动 后 ， 你 就 重新 启动 吧 ! 喔 ! 要 


记得 


将 DVD 拿 出 来 喔 ! (怪异 的 是 ， 乌 哥 第 一 次 安装 后 ， 竟然 发 现 电 源 管 
理 有 


问题 ， 得 在 kernel 处 增加 noapic 才能 顺利 开机 呢 ! ) 

19. 装 好 并 重新 启动 后 ， 就 会 进入 runlevel 3 的 纯 文 本 界面 ! 因为 是 服务 
器 嘛 ! 

1.2.2-3 服务 器 本 身 的 基本 操作 系统 操作 


既然 我 们 这 部 主机 得 要 提供 不 同 账号 来 使 用 他 们 目 己 的 网 络 驱动 右 ， 
此 还 需要 建 


立 账 写 啊 ， 使 用 磁盘 配额 (quota) 等 等 的 。 那么 你 会 不 会 建立 账 写 呢 ? 
你 会 不 会 建 置 











共享 目录 呢 ?” 你 能 不 能 处 理 每 个 账号 的 Quota 配额 呢 ? 如 果 /home 的 容 
量 不 足 了 ， 


你 会 不 会 放大 /home 的 容量 呢 ? 有 没有 办 法 将 系统 的 磁盘 使 用 情况 定期 
的 有 发送 邮件 给 


管理 员 呢 ? 这 些 都 是 基本 的 维护 行为 喔 ! ”我 们 底下 残 以 几 个 实际 例子 
来 练习 看 看 你 的 


基础 能 力 吧 ! 

例题 -大 量 建 置 账号 : 

假设 我 的 五 个 朋友 账号 分 别 是 ”vbirduser{1,2,3,4,5}， 且 这 五 个 朋友 未 来 
想 要 





共享 一 个 目录 ， 因 此 应 该 要 加 入 同一 个 群 组 ， 假 设 这 个 群 组 为 
vbirdgroup， 且 这 五 


个 账号 的 密码 均 为 password 。 那 该 如 何 建 置 这 五 个 账号 ? 

答 : 

你 可 以 写 一文 脚 本 程序 来 进行 上 述 的 工作 喔 ! 

[root@localhost ~]# mkdir bin 

[root@localhost ~]# cd /root/bin 

[root@localhost bin]# vim useradd.sh 

#!/bin/bash 

groupadd vbirdgroup 

for username in vbirduser1l vbirduser2 vbirduser3 vbirduser4 vbirduser5 


do 


Useradd -G vbirdgroup $username 
echo "password" | passwd --stdin $username 
done 
[root@localhost bin]# sh useradd.sh 
[root(Olocalhost binl]# id vbirduser1 
Uid=501(vbirduser1) gid=502(vbirduser1 ) 
net.qiang(Ohotmail.com 
groupS=502(vbirduser1),501(vbirdgroup) 
context=root:system_r:unconfined_t:SystemLow-SystemHigh 
最 后 利用 id 这 个 指令 来 查询 看 看 ， 是 否 群 组 的 文 持 是 对 的 啊 ! 
例题 - 共 盏 目录 的 权限 : 
这 五 个 朋友 的 共享 目录 建 置 于 /home/vbirdgroup 这 个 目录 ， 这 个 目录 只 


能 给 


这 五 个 人 使 用 ， 且 每 个 人 均 可 于 该 目录 内 进行 任何 动作 ! 奉 有 其 他 人 则 
无 法 使 用 ( 没 


有 权限 )， 那 该 如 何 建 置 这 个 目录 的 权限 呢 ? 


双 
FE: 








k 享 目录 ， 因 此 目录 需要 有 SGID 的 权限 才 行 ! 否则 个 别 群 组 数 


这 五 个 人 彼此 间 无 法 修改 对 方 的 数据 的 。 因 此 需要 这 样 做 : 


[root@localhost ~]# mkdir /home/vbirdgroup 


[root@localhost ~]# chgrp vbirdgroup /home/vbirdgroup 

[root@localhost ~]# chmod 2770 /home/vbirdgroup 

[root@localhost ~]# 1] -d /home/vbirdgroup 

drwxrws---. 2 root vbirdgroup 4096 2011-07-14 14:49 /home/vbirdgroup/ 


# 上 面 特殊 字体 的 部 分 就 是 你 需要 注意 的 部 分 嘿 ! 特别 注意 那个 权限 的 
s 功 








能 喔 ! 
例题 -Quota 实 作 : 








假设 这 五 个 用 户 均 需要 进行 磁盘 配额 限制 ， 每 个 用 户 的 配额 为 2GB 
(hard) 以 


及 1.8GB (soft)， 该 如 何 处 理 ? 
仇 : 。 


SR 因为 必须 要 包括 文件 系统 的 文 持 、quota 数据 文件 
建 置 、 


quota 启动 、 建 并 用 户 quota 信息 等 过 程 。 整 个 过 程 在 基础 篇 有 讲 过 了 ， 
这 里 很 快 


速 的 带领 大 家 进行 一 次 吧 ! 

#1. 启动 filesystem 的 Quota 支持 

[root@localhost ~]# vim /etc/fstab 
UUID=01ac{085-69e5-4474-bbc6-dc366646b5c8 / ext4 defaults 1 1 
UUID=eb5986d8-2179-4952-bffd-eba31fb063ed /boot ext4 defaults 1 2 


/dev/mapper/server-myhome /home ext4 


defaults,usrquota,grpquota 1 2 
UUID=605e815f-2740-4c0e-9ad9-14e069417226 /tmp ext4 defaults 1 2 
…( 底 下 省 略 )..…. 


# 因为 是 要 处 理 用 户 的 磁盘 ， 所 以 找到 的 是 /home 这 个 目录 来 处 理 的 
WR! 


PR 


# 不 过 ， 你 还 是 能 使 用 类 似 /dev/sdal 之 类 的 档 名 图 ! 
[root@localhost ~]# umount /home; mount -a 

[root@localhost ~]# mount | grep home 

/dev/mapper/server-myhome on /home type ext4 (rw,usrquota,grpquota) 
net.qiang(Ohotmail.com 

# 做 完 使 用 mount 去 检查 一 下 /home 所 在 的 名 esystem 有 没有 上 述 的 字 
眼 ! 

# 2. 制作 Quota 数据 文件 ， 并 启动 Quota 文 持 

[root@localhost ~]# quotacheck -avug 

quotacheck: Scanning /dev/mapper/server-myhome [/home] done 
…( 底 下 省 略 )..… 


# ”会 出 现 一 些 错误 的 警告 信息 ， 但 那 是 正常 的 ! 出 现 上 述 的 字样 就 对 
Be 








[root@localhost ~]# quotaon -avug 


/dev/mapper/server-myhome [/homel|l: group quotas turned on 
/dev/mapper/server-myhome [小 omej]: user quotas turned on 

# 3. 制作 Quota 数据 给 用 户 

[root@localhost ~]# edquota -u vbirduser1 

Disk quotas for user vbirduserl (uid 500): 

Filesystem blocks soft hard inodes soft 

hard 

/dev/mapper/server-myhome 20 1800000 2000000 5 0 

0 

Quota 的 单位 是 KB ， 上 所 以 这 里 要 补 上 好 多 0 啊 ! 看 的 眼睛 都 花 


[root@localhost ~]# edquota -p vbirduser1 vbirduser2 

# 持续 作 几 次 ， 将 vbirduser{3,4,5} 通通 补 上 去 ! 
[root@localhost ~]# repquota -au 

*** Report for user quotas on device /dev/mapper/server-myhome 
Block grace time: 7days; Inode grace time: 7days 

Block limits File limits 

User used soft hard grace used soft hard 

grace 


root -- 2400300 


vbirduser1l -- 20 1800000 2000000500 

vbirduser2 -- 20 1800000 2000000500 

vbirduser3 -- 20 1800000 2000000500 

vbirduser4 -- 20 1800000 2000000500 

vbirduser5 -- 20 1800000 2000000500 

# 看 到 没 ? 上 述 的 结果 就 是 有 发 现 到 设 定 的 Quota 值 吕 ! 
整个 流程 融 是 这 样 ! 

例题 -文件 系统 的 放大 (LVM): 


纯粹 假设 的 ， 我 们 的 /home 不 够 用 了 ， 你 想 要 将 /home 放大 到 7GB 可 
不 可 行 
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啊 ? 


A 和 5 。 
Er 


因为 当初 就 担心 这 个 问题 ， 所 以 /home 已 经 是 LVM 的 方式 来 管理 了 。 
此 时 我 


们 要 来 瞧 瞧 VG 够 不 够 用 ， 如 果 够 用 的 话 ， 那 就 可 以 继续 进行 。 如 采 不 
够 用 呢 ? 我 


们 就 得 要 从 PV 着 手 跑 ! 整个 流程 可 以 是 这 样 来 观察 的 。 
#1. 先 看 看 VG 的 量 够 不 够 用 : 





[root@localhost ~]# vgdisplay 


--- Volume group --- 


VG Name server 
System [ID 
Format lvm2 
…( 中 间 省 略 )..… 


VG Size 4.88 GiB <== 只 有 区 区 5G 左右 





PE Size 4.00 MiB 

Total PE 1249 

Alloc PE / Size 1249 / 4.88 GiB 

Free PE / Size 0 /0 <== 完 全 没有 剩余 的 容量 了 ! 

VG UUID SvAEou-2qduf-Z1Tr-Wsdz-2UY8-Cmfm-Ni0Oaf 


# 。 己 经 没有 多 余 的 VG 容量 可 以 使 用 了 ! 因此 ， 我 们 得 要 增加 
PV 才 行 。 


# 2. 开始 制作 出 所 需要 的 partition 吧 ! 作为 PV 用 的 ! 
[root@localhost ~]# fdisk /dev/sda <== 详 细 流 程 我 不 写 了 ! 自己 瞧 
Command (m for help): p 

Device Boot Start End Blocks Id System 

.…( 中 间 省 略 )…. 

/dev/sda8 1812 1939 1024000 83 Linux <== 最 后 一 

个 磁 柱 

Command (m for help): n 


First cylinder (1173-3264, default 1173): 1940 <== 上 面 查 到 的 号 码 加 1 


Last cylinder, +cylinders or +size{K,M,G} (1940-3264, default 3264): 
+2G 

Command (m for help): t 

Partition number (1-9): 9 

Hex code (type L to list codes): 8e 

Command (m for help): p 

Device Boot Start End Blocks Id System 

/dev/sda9 1940 2201 2104515 8e Linux LVM <== 得 到 

/dev/sda9 
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Command (m for help): w 

[root@localhost ~]# partprobe <== 在 虚拟 机 上 面 得 要 reboot 才 行 ! 
# 3. 将 /dev/sda9 加 入 PV， 并 将 该 PV 加 入 server 这 个 VG 吧 
[root@localhost ~]# pvcreate /dev/sda9 

[root@localhost ~]# vgextend server /dev/sda9 

[root@localhost ~]# vgdisplay 

.…( 前 面 省 略 ).…. 

VG Size 6.88 GiB <== 这 个 VG 最 大 就 是 6.88G 啦 

…( 中 间 省 略 )..… 


Free PE / Size 513 / 2.00 GiB <== 有 多 出 2GB 的 容量 可 用 了 ! 





# 4. 准备 加 大 /home， 开 始 前 ， 还 是 先 观察 一 下 才 增 加 LV 容量 较 好 ! 
[root(Olocalhost ~]# lvdisplay 

--- Logical volume --- 

LV Name /dev/server/myhome <== 这 是 LV 的 名 字 ! 


VG Name server 


.…( 中 间 省 略 )..… 
LV Size 4.88 GiB <== 只 有 5GB 左右 ， 需 要 增加 2GB 吕 
…( 压 下 省 略 )..… 





# 看 起 来 ， 是 需要 增加 容量 吵 ! 我 们 使 用 lvresize 来 扩大 容量 吧 ! 
[root@localhost ~]# lvresize - 6.88G /dev/server/myhome 
Rounding up size to full physical extent 6.88 GiB 

Extending logical volume myhome to 6.88 GiB <== 人 处理 完毕 哆 ! 
Logical volume myhome successfully resized 

# 看 来 确实 是 扩大 到 6.88GB 哆 ! 开始 处 理 文件 系统 吧 ! 

#5. 扩大 文件 系统 

[root@localhost ~]# resize2fs /dev/server/myhome 

resize2fs 1.41.12 (17-May-2010) 

Filesystem at /dev/server/myhome is mounted on /home; on-line resizing 
required 


old desc_blocks = 1, new_ desc blocks=1 


Performing an on-line resize of /dev/server/myhome to 1804288 (4k) 
blocks. 

The filesystem on /dev/server/myhome is now 1804288 blocks long. 
[root@localhost ~]# df -h 

文件 系统 Size Used Avail Use% 挂 载 点 
/dev/mapper/server-myhome 

6.8G 140M 6.4G 3% /home 
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0 

…( 其 他 省 略 )..… 

# 可 以 看 到 文件 系统 确实 有 放大 到 6.8G 喔 ! 这 样 了 解 了 吗 ? 


做 完 上 面 的 实 作 之 后 ， 现 在 你 晓得 为 什么 在 基础 篇 的 时 候 ， 我 们 一 直 强 
调 一 些 有 的 


没有 的 了 吧 ? 因为 那些 东西 在 这 里 都 用 的 上 ! ”如 果 本 章 这 些 题 目 你 部 
不 会 ， 甚 至 连 为 


什么 要 作 这 些 东 西 痢 不 懂 的 话 ， 那 得 赶紧 回去 阅读 基础 篇 ,不 要 再 念 下 
去 了 ! 会 非常 


非常 辛苦 的 味 ! 
1.2.2-4 服务 器 内 部 的 资源 管理 与 防火 墙 规划 


你 可 知道 本 章 第 一 个 实 作 题 安 装 好 了 你 的 Linux 之 后 ， 系 统 到 底 开 放 了 
多 少 服务 


呢 ? 这 些 服 务 有 没有 对 外 面 的 世界 开放 监听 ? 这些 服务 有 没有 漏洞 或 








者 是 能 不 能 进行 


网 络 在 线 更 新 ? 这 些 服务 如 果 没 有 要 用 到 ， 能 不 能 关闭 ? 此 外 ， 这些 
服务 能 不 能 仅 开 


放 给 部 分 的 来 源 使 用 而 不 是 对 整个 Internet 开放 ? 这 都 是 需要 了 解 的 
呢 。 底下 我 们 


就 以 几 个 小 案例 来 让 你 了 解 一 下 ， 到 底 哪些 数据 是 你 必须 要 熟悉 的 呢 ? 





| 
Sa 


前 不 想 启 动 自动 网 络 挂 载 (autofs) 机 制 ， 我 不 想 要 启动 该 服务 的 话 ， 该 
如 何 处 理 ? 


A 和 5 。 
Er 


默认 的 runlevel 可 以 使 用 runlevel 这 个 指令 来 处 理 ， 那 我 们 预 设 使 用 3 
情 


的 runlevel， 因 此 你 可 以 这 样 做 : 
[root@localhost ~]# LANG=C chkconfig --list | grep '3:0n' 


上 面 指令 的 输出 讯 啦 中 ， 会 有 autofs 服务 是 在 启动 的 状态 ， 如 有 果 想 要 天 
闭 他 ， 可 


以 这 样 做 : 
[root@localhost ~]# chkconfig autofs off 
[root@localhost ~]# /etc/init.d/autofs stop 


上 面 提 到 的 仪 只 是 有 启动 的 服务 ， 如 果 我 想 要 了 解 到 启动 监 折 
TCP/UDP 封包 的 服 


务 (网 络 封包 格式 下 章 会 谈 到 )， 那 该 如 何 处 理 ? 可 以 参考 底下 这 个 练习 


题 喔 ! 
例题 - 碍 询 月 动 在 网 络 监 听 的 服务 


我 想 要 检查 目前 我 这 部 主机 局 动 在 网 络 端口 口 监听 的 服务 有 哪些 ， 并 且 
关闭 不 


要 的 程序 ， 该 如 何 进行 ? 


答 -， 
已 
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网 络 监听 的 问 口 口 分 析 ， 可 以 使 用 如 下 的 方式 分 析 到 : 
[root@localhost ~]# netstat -tulnp 

Active Internet connections (only servers) 

Proto Recv-Q Send-Q Local Address Foreign Address State 
PID/Program name 

tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 

1005/rpcbind 

tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 

1224/sshd 

tcp 0 0 127.0.0.1:25 0.0.0.0:# LISTEN 

1300/master 

tcp 0 0 0.0.0.0:35363 0.0.0.0:* LISTEN 


1023/rpc.statd 


tcp 00:::111 :::* LISTEN 
1005/rpcbind 

tcp 0 0 1:::22 :::* LISTEN 
1224/sshd 

tcp 0 0::1:25 :::* LISTEN 
1300/master 

tcp 0 0 :::36985 :::* LISTEN 
1023/rpc.statd 

udp 0 0 0.0.0.0:5353 0.0.0.0:* 
1108/avahi-daemon: 

udp 0 0 0.0.0.0:58474 0.0.0.0:* 
1108/avahi-daemon: 
.…( 底 下 省 略 )…. 


现在 假设 我 想 要 关闭 avahi-daemon 这 个 服务 以 移 除 该 服务 启动 的 塌 口 
时 ， 应 该 要 


如 同上 题 一 样 ， 利 用 /etc/init.d/xxx stop 关闭 ， 再 使 用 chkconfig 去 处 理 
开机 


不 启动 的 行为 ! 不 过 ， 因 为 启动 的 服务 名 称 与 实际 指令 可 能 不 一 样 ， 我 
们 在 netstat 


I 的 program 项 目 是 实际 软件 执行 文件 ， 可 能 与 /etc/init.d/ 底下 
] 服 


档 名 不 同 ， 因 此 可 能 需要 使 用 grep 去 撤 取 数据 ， 或 者 透 过 那 好 棒 的 





[tab] 按键 去 

取得 相关 的 服务 档 名 才 行 。 

[root@localhost ~]# /etc/init.d/avahi-daemon stop 
[root@localhost ~]# chkconfig avahi-daemon off 


我 们 第 第 会 开 玩 突 说 ， 如 果 对 外 开放 的 软件 没有 更 新 ， 那 防火 墙 不 过 是 
个 屁 ! 所 以 


啦 ， 软 件 更 新 是 相当 重要 的 。 在 CentOS 内 ， 我 们 已 经 有 yum 来 进行 在 
线 更 新 了 ， 你 


当然 可 以 自己 利用 更 改 配置 文件 来 指定 yum 要 去 查询 的 映像 站 (mirror 
site)， 不 过 


这 里 乌 哥 建议 使 用 预 设 的 设 定 值 即 可 ， 因 为 系统 会 主动 的 判断 较 近 的 映 
像 站 (虽然 第 常 


会 误 判 )， 不 需要 人 工 微 调 啦 ! 
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例题 -利用 yum 进行 系统 更 新 

假设 你 的 网 络 已 经 通 了 ， 目 前 你 想 要 处 理 全 系统 更 新 ， 同 时 需要 每 天 凌 
展 2:15 

目 动 进行 全 系统 更 新 ， 该 如 何 作 ? 


A. 


DEI 。 








全 系统 更 新 使 用 yum update 即 可 。 但 是 由 于 yum update 需要 使 用 者 手 


动 输 


入 y 去 确认 真 的 要 安装 ， 因 此 在 crontab 里 头 处 理 相 关 任 务 时 ， 就 得 要 
使 用 yum -y 


update 了 ! 

[root@localhost ~]# yum -yupdate 
# 第 一 次 作 会 进行 非常 之 久 ! 

因为 系统 上 的 有 些 数 据 要 更 新 电 ! 
还 是 得 等 符 的 ! 

[root@localhost ~]# vim /etc/crontab 


15 2 * * * root /usr/bin/yum -y update 


不 过 这 里 还 是 要 额外 提醒 各 位 喔 ， 如 打 你 的 系统 有 更 新 过 核心 “(kernel) 
这 个 软件 ， 


务必 要 重新 局 动 啊 ! 因为 核心 是 在 开机 时 加 载 的 ， 一 经 载 入 就 无 法 在 这 
次 的 操作 中 


更 改版 本 的 。 
那个 crontab 档案 的 处 理 ， 以 及 crontab -e 的 指令 应 用 ， 内 容 的 写法 字段 





一 样 ， 请 目 行 参考 基础 篇 的 说 明 去 加 强 学 习 喔 ! 


在 通过 了 上 述 的 各 项 设 定 后 ， 我 们 的 Linux 系统 应 该 是 比较 稳定 些 了 ， 
再 接着 下 


来 ， 我 们 要 开始 来 设 定 资源 的 保护 了 ! 例如 ssh 这 个 远程 可 登入 的 服务 
得 要 限制 住 可 





登入 的 IP 来 源 ， 以 及 制订 防火 墙 规则 流程 等 。 这 部 份 则 是 本 教学 文件 
后 续 要 着 重 介 


绍 的 部 分 ， 留 竺 后面 章节 再 来 谈 吧 ! 

Tips: 

程序 设计 师 所 撰写 的 程序 并 非 十 全 十 美的 ， 所 以 ， 总 是 可 能 有 些 地 
方 没 有 设计 好 ， 因 此 就 造成 所 谓 的 『 程 序 漏洞 上 」 哆 。 程序 漏洞 所 造 
成 的 问题 有 大 有 小 ， 小 问题 可 能 是 造成 主机 的 当 机 ， 大 问题 则 可 能 
造成 主机 的 机 密 数 据 外 流 ， 或 者 主机 的 操控 权 被 cracker 取得 。 

在 现今 网 络 发 达 的 年 代 ， 程 序 的 漏洞 问题 是 造成 主机 被 攻击 、 入 侵 
的 最 主要 因 系 之 一 了 。 因此 ， 人 快速、 有 效 的 针对 程序 漏洞 进行 修补 ， 
是 一 个 很 重要 的 维护 课题 。 

1.2.2-5 服务 器 软件 设 定 : 学 习 设 定 技巧 与 开机 是 否 自动 执行 


这 部 份 就 是 整个 服务 器 架设 篇 的 重要 内 容 了 ! 前 一 小 节 也 曾 谈 过 ， 在 服 
务 右 染 设 前 


分 你 得 要 熟悉 相当 多 的 信息 ， ”否则 未 来 维护 会 显 的 很 肪 烦 。 我 们 以 本 
章 提 到 的 大 前 提 


为 例 ， 我 们 想 要 提供 一 个 网 络 驱 动 右 机 ， 那 么 网 络 驱 动 器 机 使 用 的 机 制 
有 哪些 呢 ? 常 


见 的 除了 网 页 形式 的 分 享 磁盘 之 外 ， 还 有 常见 的 网 芳 以 及 Linux 的 NFS 
方式 (后 面 章 


市 都 会 继续 谈 到 )。 
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由 于 假设 局 域 网 络 内 的 操作 系统 大 部 分 是 Windows 好 了 ， 因 此 网 方 应 


该 是 个 比较 


合理 的 磁盘 分 享 选 择 。 ”那么 网 芳 到底 启 动 了 多 少 个 起 口 ? 是 如 何 持续 
提供 网 芳 数据 的 ? 


提供 的 账号 有 没有 限制 ?提供 的 权限 该 如 何 设 定 ? ”是否 可 规定 谁 可 登 
入 茶 些 特定 目录 ? 


针对 网 芳 服 务 的 埋 口 该 如 何 设 定 防 火 墙 ? 如 果 系 统 出 错 该 如 何 碍 询 错 误 
信息 ? 这 个 网 


芳 在 Linux 底下 要 使 用 什么 服务 来 达成 ? 这 都 是 需要 学 习 的 呢 ! 


直接 告诉 你 ， 网 芳 的 制作 在 Linux 底下 是 由 Samba 这 套 软件 来 达成 的 。 
Samba 的 


详细 设 定 我 们 会 在 后 续 章节 介绍 。 这 里 要 告诉 你 的 是 ， 架设 一 个 网 芳 
服务 器 ， 你 应 该 


要 会 的 基础 知识 有 哪些 ?以 及 告诉 你 ， 你 可 以 背 下 来 的 架设 流程 中 ， 


理论 上 应 该 要 经 


过 哪些 步骤 的 过 程 ， 这 样 对 你 未 来 处 理 服务 器 设 定 时 ， 才 会 有 点 帮助 
Wh! 


1. 软件 安装 与 查询 


刚刚 我 们 已 经 知道 网 廊 需 要 安装 的 是 Samba 这 和 套 软件 ， 那 么 该 如 何 碍 
询 有 没有 


安装 呢 ? 如 果 没 有 安装 又 该 如 何 安 效 呢 ? 那 就 来 处 理 处 理 。 
例题 : 


HS 
次 





























AS 。 
已 


己 安 装 的 软件 可 以 使 用 rpm 去 察看 看 ， 尚 未 安 沪 的 则 使 用 yum 功能 。 
所 以 可 


以 这 样 进 行 看 看 : 

[root@localhost ~]# rpm -qa | grep -i samba 
samba-common-3.5.4-68.el6_0.2.x86_64 
samba-client-3.5.4-68.el6_0.2.x86_64 
samba-winbind-clients-3.5.4-68.el6_0.2.x86_64 

# 看 起 来 samba 主 程序 疝 未 被 安装 啊 ! 此 时 就 要 这 样 做 : 
[root@localhost ~]# yum search samba <== 先 查 一 下 有 没有 相关 的 软件 








[root@localhost ~]# yum install samba <== 找 到 之 后 ， 那 束 安 装 吧 ! 


那么 如 何 找 出 配置 文件 呢 ? 因为 我 们 总 是 需要 修改 配置 文件 啊 ! 这 样 
故 吧 : 








[root@localhost ~]# rpm -gc samba samba-common 
/etc/logrotate.d/samba 

/etc/pam.d/samba 

/etc/samba/smbusers 

/etc/samba/lmhosts 

/etc/samba/smb.conf 

/etc/sysconfig/samba 

2. 


3. 服务 器 主 设 定 与 相关 设 定 


这 部 份 可 就 麻烦 了 ! 因为 你 得 要 了 解 到 ， 你 到 底 需 要 的 服务 是 什么 ， 针 
对 该 服务 
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需要 设 定 的 项 目 有 哪些 ? 。。 这些 设 定 需要 用 到 什么 指令 或 配置 文件 等 
等 。 一 般 来 


说 ， 你 得 要 先 畦 看 这 个 服务 的 通讯 协议 是 啥 ， 然 后 了 解 该 如 何 设 定 ， 
接 下 来 编 


辑 主 配置 文件 ， 根 据 主 配置 文件 的 数据 去 执行 相对 应 的 指令 来 取得 正确 
的 环境 设 


定 。 以 我 们 这 里 的 网 方 为 例 ，“ 我 们 需要 设 定 工作 组 ， 然 后 需要 设 定 可 
以 使 用 网 


人 因此 你 需要 





先 使 用 vim 去 编辑 /etc/samba/smb.conf 配置 文件 ; 
ii. 

利用 useradd 建立 所 需要 的 网 芳 实体 用 户 ; 

iii. 

利用 smbpasswd 建立 可 用 网 芳 的 实体 帐户 ; 

iv. 

利用 testparm 测试 一 下 所 有 数据 语法 是 否 正确 ; 
V. 


检查 看 看 在 网 方 内 分 享 的 目录 权限 是 否 正确 。 











这 些 设 定 都 捅 定之 后 ， 才 能 够 继续 进行 局 动 与 观察 的 动作 吻 ! 而 想 要 了 
解 更 多 天 


于 ”samba “的 相关 设 定 技巧 与 应 用 ， 除了 google ”大 神 之 外 ， 


/usr/share/doc 
内 的 文件 ， 以 及 man 这 个 好 用 的 家 伙 都 必须 要 去 阅读 一 番 ! 
4. 服务 堪 的 司 动 与 观察 


在 设 定 尝 当 之 后 ， 接 下 来 当然 就 是 局 动 该 服务 促 了。 一 般 服 务 器 的 启动 
大 多 是 使 


用 stand alone 的 模式 ， 如 果 是 比较 少 用 的 服务 ， 如 telnet ， 就 比较 有 可 


会 已 
月 已 


super daemon 的 服务 局 动 类 型 。 我 们 这 里 依旧 使 用 samba 为 例 ， 
来 瞧 





瞧 如 何 局 动 他 吧 ! 
例题 : 


如 何 启 动 samba 这 个 服务 呢 ? 并且 设 定好 开机 就 启动 他 ! 


人 。 
Er: 





0 得 要 使 用 rpm 去 找 一 下 软件 的 局 动 方式 ， 然 后 再 去 
理 启 


动 的 行为 史 ! 
# 先 人 查询 一 下 启动 的 方式 为 何 : 


[root@localhost ~]# rpm -ql samba | grep ‘/etc' 








/etc/logrotate.d/samba 


/etc/openldap/schema 


/etc/openldap/schema/samba.schema 
/etc/pam.d/samba 

/etc/rc.d/init.d/nmb 

/etc/rc.d/init.d/smb <== 所 以 说 是 stand alone 且 档 名 为 smb, nmb 两 
| 

/etc/samba/smbusers 

# 开始 启动 他 ! 且 设 定 开机 就 司 动 喔 ! : 
[root(@Olocalhost ~]# /etc/init.d/smb start 
[root(Olocalhost ~]# /etc/init.d/nmb start 
net.qiang(Ohotmail.com 

[root@localhost ~]# chkconfig smb on 
[root@localhost ~]# chkconfig nmb on 


# 接 下 来 ， 让 我 们 观察 一 下 有 没有 局 动 相关 的 埋 口 吧 ! 





[root@localhost ~]# netstat -tlunp | grep '[snlmbd' 

tcp 00:::139 :::* LISTEN 1484/smbd 

tcp 0 0 :::445 :::* LISTEN 1484/smbd 

udp 0 0 0.0.0.0:137 0.0.0.0:* 1492/nmbd 

udp 0 0 0.0.0.0:138 0.0.0.0:* 1492/nmbd 

最 终 我 们 可 以 看 到 启动 的 塌 口 有 137, 138, 139, 445 喔 ! 


5. 





6. 客户 端的 联机 测试 

0 
功能 啊 ! 

这 样 才 能 够 了 解 设 定 是 对 还 是 错 ! ”相关 的 客户 端 联机 与 服务 器 提供 的 
服务 有 关 ， 

例如 WWW 服务 器 就 要 使 用 browser 去 测试 ， 网 芳 当 然 就 得 要 使 用 网 芳 
客户 端 程 

序 哆 ! 这 部 份 也 是 本 服务 器 篇 要 讲 的 基本 内 容 啦 ! 

但 是 很 多 时 刻 ， 客 户 闯 联 机 测试 不 成 切 并 非 是 服务 器 设 定 的 问题 ， 很 多 


» 


是 客户 端 
使 用 方式 不 对 ! ”包括 客户 端 自己 的 防火 墙 没 开 啦 ， 客 户 端的 账号 权限 


密码 等 等 





记 错 啦 等 等 的 ， 问 题 很 大 啦 ! 总 体 来 说 : 【教育 你 的 Client 使 用 者 具有 


最 最 


和 
> | > 


但 这 也 是 最 难 的 部 分 .… 


7. 错误 克服 与 观察 登录 档 





告诉 你 


错误 的 原因 为 何 ， 所 以 你 得 要 注意 屏 硕 讯 足 。 ”老实 说 ， 屏 幕 讯 县 通常 
就 已 经 告 


诉 你 该 如 何 处理 了 。 如 果 还 不 能 处 理 呢 ? 你 可 以 这 样 处 置 看 看 : 
0 先 看 看 相关 登录 文件 有 没有 错误 讯 鼠 ， 举 例 来 说 ， samba 除了 会 在 











/Var/log/messages 里 面 列 出 讯 且 外， 大 部 分 的 讯 县 应 该 是 摆 放 在 
/Var/log/samba/ 这 个 目录 下 的 数据 ， 因 此 你 就 得 先 去 查阅 一 番 。 通 常 在 
登录 文件 内 的 信息 ， ”会 比 在 屏幕 上 的 还 要 仔细 ， 那 你 就 可 以 自行 处 理 





o 将 讯 妃 融入 Google 查询 ， 通 常 可 以 解决 登录 档 出 现 的 但 是 你 没有 办 
法 殉 服 的 问题 嘿 ! 达标 京 可 达 95% 以 上 吧 ! 

0 还 是 不 成 功 ， 那 就 到 各 大 讨论 区 去 发 问 吧 ! 建议 到 酷 学 园 
(http://phorum.study-area.org) 
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最 常 出 现 的 其 实 是 SELinux 的 错误 啦 ! 此 时 就 得 要 使 用 SELinux 的 方法 
来 学斌 


处 理 哆 ! 这 也 是 本 服务 器 篇 后 续 会 稍微 提 到 的 内 容 。 
经 过 上 面 的 流程 ， 你 就 可 以 知道 啦 ， 架 设 好 一 部 主机 需要 知道 : (1 上) 各 个 


process 与 


signal 的 观念 ，(2) 账 号 与 群 组 的 观念 与 相关 性 : (3) 档 案 与 目录 的 权限 ， 


与 账号 相关 的 特性 ， (4) 软 件 管理 员 的 学 习 ; (5)BASH 的 语法 与 shell 


scripts 的 语 


法 ， 还 有 那个 很 重要 的 vim 哆 ! : (6) 开 机 的 流程 分 析 ， 以 及 记录 登录 
文件 的 设 定 与 分 


析 ; (7) 还 得 知道 类 似 quota 以 及 连结 档 等 等 的 概念 。 要 知道 的 真 的 很 








多 ， 而 且 还 是 不 
能 省 略 的 步骤 喔 ! 
1.2.2-6 细部 权限 与 SELinux 


如 采 有 些 特殊 的 使 用 情况 时 ， 权 限 设 定 就 是 个 很 重要 的 因 妹 。 举 例 来 
说 ， 我 们 系统 


上 面 ， 现 在 有 vbirduser{1,2,3,4,5} 以 及 student 等 账号 ， 而 共享 目录 为 


/home/vbirdgroup。 现 在 ， vbirdgroup 的 群 组 想 要 让 student 这 个 用 户 可 
以 进入 该 

共享 目录 查阅， ”但 是 不 能 够 更 改 他 们 原本 的 数据 ， 你 该 如 何 进行 呢 ? 
你 或 许可 以 这 样 


相 . 


4DCO。 








让 student 加 入 vbirdgroup 群 组 即 可 : 但 如 此 一 来 ， student 具有 


vbirdgroup 的 rwx 权限 ， 也 就 可 以 写 入 与 修改 哆 ， 因此 这 个 方案 行 不 
lo 


将 /home/vbirdgroup 的 权限 改 为 2775 即 可 : 如 此 一 来 student 拥有 其 


re (rx)， 但 如 此 一 来 其 他 所 有 任何 人 均 拥 有 rx 权限 ， 这 个 方案 
人 


不 通 。 


传统 的 里 份 与 权限 概念 就 只 有 上 面 两 种 解决 方 采 而 已 ， 这 下 子 严 重 了 ! 
我 们 没有 办 


法 针对 student 进行 权限 设 定 ! 此 时 就 得 要 使 用 ACL 哆 一 同样 这 个 例 
子 ， 我 们 就 来 


SE 下 : 











想 要 让 student 可 以 进入 /home/vbirdgroup 进行 查询 ， 但 不 可 写 入 。 同 时 


vbirduser5 在 /home/vbirdgroup 内 ， 不 具有 任何 权限 。 





和 5 。 
Er: 


只 能 使 用 ACL 哆 ! 由 于 安装 时 预 设 格式 化 束 加 上 acl 的 文件 系统 功能 


持 ， 


因此 你 可 以 直接 处 理 如 下 的 各 项 指令 。 如 果 你 是 使 用 后 来 新 增 的 
partition 或 


filesystem ， 或 许 得 要 在 /etc/fstab 内 额外 增加 acl 控制 参数 才 行 喔 ! 





[root(Olocalhost ~]# useradd student 

[root@localhost ~]# passwd student 

[root@localhost ~]# setfacl -m u:student:rx /home/vbirdgroup 
[root@localhost ~]# setfacl -m u:vbirduser5:- /home/vbirdgroup 
net.qiang(Dhotmail.com 

避 

[root@localhost ~]# getfacl /home/vbirdgroup 

# file: home/vbirdgroup 

# owner: root 

# group: vbirdgroup 

# flags: -s- 


USET..TWX 


user:vbirduser5:--- 
user:student:r-x <== 就 是 这 两 行 ， 额 外 的 权限 参数 哩 ! 

group::TWX 

mask::rwx 

other::--- 

[root@localhost ~]# 1 -d /home/vbirdgroup 

drwxrws---+ 2 root vbirdgroup 4096 2011-07-14 14:49 /home/vbirdgroup 


0 那 万 一 系统 管理 员 不 是 个 东西 ... 不 是 
啦 ! 系 


管理 员 并 不 知道 权限 的 重要 性 时 ， ”常常 会 因为 某 些 特殊 需求 ， 就 将 整 
个 目录 设 定 为 777 


的 情况 ! 举例 来 说 ， 如 果 是 一 个 不 怎么 想 要 负责 的 网 管 人 员 ， ”为 了 目 
己方 便 、 大 家 方 


便 ， 就 将 /home/vbirdgroup 设 定 为 777 ， 这 样 『 大 家 欢喜 」 嘛 ! 此 时 ， 
如 有 果 你 没有 


加 上 任何 管理 机 制 ，， 咖 踪 ! 这 个 群 组 成 员工 作 的 成 果 ， 通 通 可 以 被 大 
家 所 鳃 取 ， 真 是 


要 命 了 ! 


为 了 预防 这 种 心 不 在 需 的 管理 员 ， 于 是 就 有 了 SELinux 这 个 玩意 儿 。 
SELinux 主 


要 在 控制 细部 的 权限 ， 他 可 以 针对 茶 些 程序 要 读 取 的 档案 来 设计 


SELinux 类 别 ， 当 程 


序 与 档案 的 类 别 形 态 可 以 相符 合 时 ， 该 档案 才能 够 开始 被 读 取 。 ”如 此 








文件 案 权 限 为 777 ， 但 是 因为 程序 与 档案 的 SELinux 例 行 不 符 ， 所 以 没 
关系 的 ， 因 为 


该 程序 还 是 读 不 到 该 档案 ! 所 以 我 们 在 图 1.2-1 才 会 将 SELinux 的 图 示 
绘制 到 





daemon 与 file permission 中 则 啊 ! 


事实 上 SELinux 还 挺 复 杂 的 ， 但 是 我 们 如 果 仅 是 想 要 应 用 而 已 ， 那 么 
SELinux 的 


处 理 方式 通通 可 以 透 过 登录 档 来 处 置 ! 所 以 SELinux 出 现 问题 的 机 会 
非常 大 ， 但 是 解 


决 技巧 却 很 简单 ! 惑 是 透 过 登录 档 内 的 说 明 去 作 即 可 。 ”详细 的 作法 我 
们 在 后 续 半 市 再 


持续 说 明 吧 ! 
1.2.3 系统 安全 与 备份 处 理 


老实 说 ， 在 乌 哥 管理 服务 器 的 经 验 来 说 ， 便 件 问 题 要 比 操作 系统 与 软件 
问题 还 来 的 


严重 ， 而 人 的 问题 又 比 硬件 问题 严重 ! 举例 来 说 ， 如 果 你 的 老板 跟 你 
说 : [我 要 的 账 


号 是 eric ， 而 且 我 的 密码 也 要 是 eric ! 这 样 比 较 好 记 嘛 ! 」 你 应 该 要 
怎么 处 理 呢 ? 








net.qiang(COhotmail.com 


「 果 然 需要 再 教育 」! 教育 谁 ? 教育 自己 啦 ! 是 要 忍耐 还 是 要 说 服 老板 
别 这样 ~ 好 讨厌 


的 感觉 吧 ! 


因此 ， 在 系统 安全 方面 ， 首 要 的 工作 是 透 过 日 常生 活 的 社交 活动 中 ， 慢 


慢 透 露 一 些 














资 安 方面 的 困扰 ， ”并 提供 老板 一 些 制 订 资 安 规则 方面 的 信息 ， 这 样 未 
来 比较 好 豆 吹 资 


安 条 件 的 制订 。 我 们 束 先 由 严格 的 密码 来 建议 吧 : 


Ps 仍 是 一 个 不 可 忽视 的 入 侵 手 段 ! 例如 SSH 如 末 对 Internet 开 
放 的 话 ， 


你 又 没有 将 root 的 登入 权限 关闭 ， 那 么 对 方 将 可 能 以 root 尝试 登入 你 
的 Linux 主 


机 ， 这 个 时 候 对 方 最 重要 的 步骤 就 是 猜 出 你 root 的 密码 了 ! 如 果 你 root 
的 密码 设 定 


成 『1234567」 哈哈 ! 想 不 被 入 侵 都 很 难 ~~ 所 以 当然 需要 严格 的 规范 用 
户 密码 的 设 定 了 ! 


那么 如 何 规范 严格 的 密码 规则 呢 ? 可 以 夭 由 (修改 /etc/login.defs 档案 
里 面 的 规 


则 ， 以 让 用 户 需要 每 半年 更 改 一 次 密码 ， 且 密码 长 度 需要 长 于 8 个 字符 
呢 ! (2) 利 用 


/etc/security/limits.conf 来 规范 每 个 使 用 者 的 相关 权限 ， 让 你 的 Linux 可 
以 较为 


安全 一 反 扩 全 (3) 利 用 pam 模块 来 额外 的 进行 密码 的 验证 工作 。 


另外 ， 虽 然 『 防 火 墙 无 用 论 」 第 种 被 提 及 ， 但 是 netfilter (Linux 的 核心 
内 建 防 


火 墙 ) 其 实 仍 有 他 存在 的 必要 。 因此 你 还 是 得 就 要 你 自己 的 主机 环境 来 
设计 专属 于 自 


己 的 防火 墙 规则 ， 例 如 上 面 提 到 的 SSH 服务 中 ， 你 可 以 仅 针 对 某 个 局 
域 网 络 或 条 个 特 


定 IP 开放 联机 功能 即 可 啊 ! 





























最 后 ， 备 份 是 不 可 忽略 的 一 环 。 本 市 开头 束 讲 到 了 ， 马 哥 过 过 第 第 英名 
其 妙 目 动 重 


开机 或 系统 不 稳 的 ， 经 常 部 不 是 被 攻击 ， ”而 是 硬件 内 部 的 电子 零件 老 
化 所 造成 的 系统 


不 稳定 .… 此 时 ， 异 地 备 援 啦 、 备 用 机 器 的 接管 理 等 等 的 ， 就 很 重要 哆 ! 


而 你 总 不 想 要 


人 「 害 害 去 」】， 所 以 吃 ， 备 份 就 真 他 和 的 重要 
ly 1 


例题 : 
系统 上 比较 重要 的 目录 有 /etc, /home, /root /var/spool/mail 等 ， 你 现在 


人 2:45am 进行 备份 ， 且 备份 数据 存 到 /backup 内 ， 备 份 的 举动 


tar ， 那 该 如 何 处 理 ? 


2 
已 





鸟 哥 通常 是 使 用 shell script 来 进行 备份 数据 的 汇 整 ， 范 例如 下 : 
[root@localhost ~]# mkdir /root/bin; vim /root/bin/backup.sh 
#!/bin/bash 

backdir="/etc /home /root /var/spool/mail" 

basedir=/backup 

[ ! -d "$basedir" ] && mkdir $basedir 
backfile=$basedir/backup.tar.gz 


tar -zcvf $backfile $backdir 


[root@localhost ~]# vim /etc/crontab 
45 2 * * * root sh /root/bin/backup.sh 
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无 论 如 何 ， 以 现今 的 网 络 功能 及 维护 来 看 ， 架 设 一 个 『 功 能 性 强 」 的 主 
机 ， 还 不 


如 架设 一 个 『 稳 定 且 安全 的 主机 」 比 较 好 一 点 ! 因此 ， 对 于 主机 的 安全 
要 求 束 需要 严格 
的 要 求 啦 ! 就 乌 哥 的 观点 来 看 ， ”如 果 你 的 主机 是 用 来 普 你 赚钱 的 ， 例 
如 某 些 研究 单位 


的 大 型 Cluster 运算 主机 ， 那么 即使 架设 一 个 甚至 让 你 觉得 很 不 方便 的 
防火 墙 系统 ， 


都 是 合理 的 手段 ! 因为 主机 被 入 侵 就 算 了 ， 知 数据 被 禄 取 ， 呵 呵 ! 那 
可 不 是 六 着 玩 的 ! 


由 上 面 的 整个 架 站 流程 来 看 ， 由 规划 到 安装 、 主 机 设 定 、 账 号 与 档案 权 
限 管 理 、 后 


续 安全 性 维护 与 管理 以 及 重要 的 备份 工作 等 等 ， ”必需 要 每 个 环节 都 很 
清楚 ， 才 能 够 设 

定 出 一 个 较为 稳定 而 可 正常 工作 的 服务 器 。 而 上 面 的 每 一 个 工作 都 涉及 
到 相当 多 的 


Linux 基础 操作 与 相关 的 概念 ， 所 以 说 ， 想 要 学 架 站 ， 真 的 真 的 不 能 省 
略 了 Linux 的 


基础 学 习 ， 这 也 是 为 什么 我 们 一 再 强调 Linux 新 手 不 要 一 头 栽 入 想 要 单 
纯 架 设 服务 器 














的 迷 思 当中 响 ! 如 果 你 对 于 上 面谈 到 的 几 个 基础 概念 不 是 很 清楚 的 
话 ， 那 么 建议 你 由 


底下 的 两 个 网 站 学 起 : 





http://www.study-area.org 
http://linux.vbird.org 
1.3 自我 评估 是 否 已 经 具有 架 站 的 能 力 





网 管 人 员 需 要 什么 能 力 呢 ? 我 想 几 个 站 跟 作 一 个 称职 的 网 管 人 员 ， 
相差 是 其 





远 的 ! 架 站 ， 说 真 的 ， 是 一 件 很 简单 的 事情 ， 看 着 书本 一 步 一 步 的 作 上 
去 ”二 证 本 以 及 


功 的 ! 但 是 ， 很 多 人 都 只 晓得 。”『 如 何 架 站 」 却 不 知 到 『 如 何 维 护 一 个 
网 站 的 安全 」! 


基本 上 ， ”维护 一 个 已 经 架设 好 的 网 站 的 正常 运作 ， 真 的 要 比 架 设 一 个 
网 站 难 的 多 了 ! 


你 得 要 随时 知道 你 的 系统 状况 ， ”随时 注意 是 否 有 新 的 软件 漏洞 而 去 修 
补 他 ， 随 时 要 注 


意 各 种 服务 的 登录 档案 (logfile) 以 了 解 系统 的 运作 情况 ! ”得 知道 发 生 问 
题 的 时 候 ， 到 


底 问 题 点 古 在 哪 一 个 ! 


比如 说 当 机 了 ， 那 么 你 知道 当 机 的 原因 吗 ? ”即使 不 知道 ， 也 可 得 需要 
约略 猜 得 出 


玉 才 全 而 ， 如 果 安 全 出 了 问题 ， 被 入 侵 了 ， 除了 format + 重 洪 之 外 ， 
可 有 办 法 在 不 


移 除 系统 的 情况 下 修补 漏洞 ? ”这 些 都 是 网 管 人 员 需 要 学 习 的 ， 而 且 ， 
通常 都 是 需要 经 











验 的 累积 才 会 知道 问题 的 所 在 ! ”此 外 ,保持 身心 的 活力 以 随时 注意 在 
线 公布 的 安全 防 


备 信息 等 等 ! 都 需要 具备 的 ! 


此 外 ， 最 严重 的 问题 是 ， 网 管 人 员 其 实 最 需要 的 是 『 道 德 感 与 责任 
感 上 」! 你 可 要 


晓得 你 的 机 器 上 所 有 人 的 隐私 都 在 你 的 监控 之 下 ， ”如 果 你 本 身 就 已 经 
有 偷 颖 欲 了 ， 可 


知道 这 有 多 可 怕 吗 ? 吃 外 ， 如 宋 没有 责任 感 的 人 作为 一 个 网 管 ， “可 能 
会 疯 反 ， 因 为 不 


论 何 时 何 地 ， 只 要 是 你 监控 的 主机 出 了 问题 ， 嘿 嘿嘿 嘿 ， 你 一 定 是 第 一 
个 被 想到 的 人 物 ， 


所 以 ， 你 得 随时 随地 做 好 可 能 随时 会 被 召唤 回 主 机 跟前 的 心理 准备 ! 


更 可 笑 的 是 ， 如 果 你 服务 的 人 群 中 ， 有 几 个 连 开 机 的 时 候 软 盘 驱 动 器 
蹇 了 一 块 不 


可 开机 的 软盘 ， 导 致 无 法 正常 开机 ， ”也 都 会 跟 你 抱 忽 说 『 吻 吻 ! 你 经 
手 的 计算 机 怎么 
这 么 烂 ， 动 不 动 就 不 能 开机 」 的 时 候 ， ”你 得 要 有 容 人 的 雅 量 ， 说 说 冷 
突 话 解 解 问 吧 ! 
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总 之 ， 网 管 人 员 并 不 是 只 要 会 架 站 就 可 以 了 ， ”『 道 德 感 ] 『「 责 任 感 ] 
还 有 『 耐 心 」 呵 


呵 ! 套 一 句 现 在 人 喜欢 说 的 口头 禅 『 这 是 一 定 要 的 啦 ! | 
网 管 人 员 是 什么 ? 好 久 以 前 看 到 了 报纸 的 一 篇 报 寻 ， 内 容 大 概 是 说 : 








台湾 的 网 络 


管理 人 员 对 于 『 网 络 安全 性 防护 | 的 认 知 不 够 ， 或 许 是 防火 墙 机 制 建立 
不 完整 ， 或 者 


古 认 为 黑客 不 会 入侵 小 型 网 站 ， 所 以 在 不 其 了 解 的 情况 下 ， 被 所 请 的 
「 中 东 黑 客 组 织 ] 


所 入 侵 ， ”然后 以 台湾 被 入 侵 的 计算 机 为 跳板 ， 去 攻击 宾 拉 登 的 仇敌 美 
国 ， 然 后 引起 美 


国 高 度 的 不 满 。 由 于 台湾 的 立场 有 扩 得 罪 不 得 美国 ( 这 边 不 提 及 政治 因 
素 ， 反 正 目前 


的 情况 是 这 样 。 ) ， 所 以 一 接 到 美国 来 的 抗议 信函 束 很 环 手 。 这 只 是 一 
个 事件 问题 ， 


不 过 这 个 事件 问题 也 点 出 了 一 个 重点 ， 束 是 我 们 的 网 络 信 息 可 能 真 的 是 
蛮 发 达 的 ， 不 


过 ， 在 认 知 的 程度 上 就 有 点 参差 不 齐 了 ! 网 络 安全 
是 蛮 重 要 的 ， 


是 ， ”大 家 常常 会 态 记 他 ! 个 人 认为 ， 网 管 是 蛮 重 要 的 角色 ， 应 该 不 能 
等 内 视 之 才 对 。 


好 了 ， 如 采 你 了 解 了 上 面 乌 哥 所 想 要 表达 的 意念 之 后 ， 来 评估 看 看 你 是 


否 适 合 当 一 
个 称职 的 网 管 人 员 吧 ! 
1. 是 否 具 有 Linux 的 基础 概念 : 


这 当然 包含 很 多 部 分 ， 例 如 账号 管理 、BASH、 权 限 的 概念 、Process 与 
signal 的 


概念 、 简 易 的 便 件 与 Linux 相关 性 (如 mounb 的 认识 、 登 录 档 案 的 解 
析 、daemon 
































的 认识 等 等 ， 都 需要 有 一 定 程度 的 了 解 ; 
2. 是 否 具 备 基 础 网 络 知识 : 
没有 网 络 知识 想 要 染 站 ， 那 是 天 方 夜 齐 ! 请 确认 你 已 经 熟悉 IP, 


Netmask, route, 
DNS, daemon 与 port, TCP 封包 的 概念 等 基本 知识 ; 
3. 是 人 否 已 经 身心 活化 了 : 


网 管 人 员 必 须要 随时 注意 网 站 的 相关 信息 ， 这 包括 网 站 软件 的 漏洞 修 
补 、 网 络 


上 公告 的 网 络 安全 通报 等 等 ， 还 有 ， 得 要 每 日 分 析 主 机 的 登录 文件 ， 





> 





经 具备 了 随时 注意 这 些 信息 的 『 耐 心 呢 ? 
种 感 与 





如 果 还 是 具有 一 点 扩 的 偷 驱 欲 ， 再 加 油 吧 ! 和 人 ， 男 外 ， 如 果 老 板 想 要 
请 你 『 偷 


筑 」 时， 请 想 尽 任何 方法 ， 让 他 理解 这 么 做 是 多 么 的 可 笑 ~ 


当然 ， 一 再 强调 的 ， 架 设 一 个 Linux 服务 器 是 很 简单 的 ， 但 是 维护 的 工 
作 除 了 号 


心 已 经 活化 ， 并 且 还 要 拥有 高 标准 的 道德 感 ， 耕 则 .…. 倒 站 车 怕 是 可 以 
预见 的 一 个 后 





1.4 本 章 习 题 


samba 软件 未 来 还 会 使 用 到 ， 因 此 请 先 移 除 samba 软 


学 


将 本 章 例 题 中 改写 的 /etc/crontab 内 容 取消 ( 共 两 行 )。 
net.qiang(Ohotmail.com 

透 过 yum remove samba 或 rpm -e samba 均 可 ， 然 后 用 vim /etc/crontab 
将 那 两 行 取消 吧 ! 


如 果 我 有 一 颗 硬 盘 在 A 主机 上 面 安装 了 Linux 之 后 ， 拿 到 男 一 台 配 备 
日 同 


人 结果 竟然 无 法 顺利 开机 ， 你 认为 可 能 的 原因 
是 什么 ? 


er 目录 的 位 置 ， 而 根 目 录 找 不 到 通常 束 是 磁 








装置 文件 名 错误 所 致 。 目 前 由 于 /etcfstab 配合 filesystem ”都 使 用 
LABEL 


name ， 所 以 不 容易 发 生 这 样 的 情况 。 但 如 果 你 曾经 自行 手动 处 理 过 
/etc/fstab 


的 话 ， 那 承 必 须要 注意 磁盘 的 装置 文件 名 了 ! 透 过 修改 /etc/fstab 以 及 
/boot/grub/menu.lst 或 许 能 够 得 到 方法 解决 。 

一 般 来 说 ， 在 Linux 系统 上 ， 用 户 默 认 的 家 目录 在 那个 目录 下 ? 另 
外 sw 新 





增 一 个 使 用 者 时 ， 该 用 户 默认 的 家 目录 内 容 来 自 那 个 目录 下 ? 
在 /etc/default/useradd 这 个 档案 里 面 会 规范 用 户 的 默认 家 目录 以 及 默 


一 般 来 说 ， 用 户 默认 家 目录 在 home ， 全 于 家 目录 内 


则 复制 来 源 在 /etc/skel 里 面 。 


我 以 原始 码 的 方式 进行 一 个 软件 的 安装 ， 但 是 在 分 析 系 统 的 时 候 ， 分 
析 程 序 


一 直 告诉 我 找 不 到 cc 这 个 指令 ， 请 问 这 是 什么 问题 ?为 何 需 要 cc ? 
我 该 


如 何 解 决 这 个 问题 ， 好 让 软件 可 以 顺利 的 被 安装 在 我 的 Linux 上 面 ? 
因为 是 原始 码 ， 所 以 还 需要 编译 程序 来 将 该 原始 码 编译 成 为 可 以 在 你 的 


Linux 系统 上 面 跑 的 binary 档案 ， 在 Linux 上 头 默 认 的 编译 程序 就 是 
gcc 这 


个 编译 程序 (compiler)。 如 果 你 在 安装 ”Linux ”的 时 候 ， 使 用 ”Linux 


Installer 


默认 的 软件 选择 ， 那 通常 会 没有 安装 gcc 以 及 make 等 软件 ， 此 时 ， 请 
使 用 yum 


去 处 理 软件 的 安装 吧 ! 
我 发 现 我 的 Linux 系统 怪 怪 的， 似乎 有 什么 不 知名 的 程 友 在 内存 当中 
跑 ， 








我 该 如 何 将 这 个 不 知名 的 程序 捉 出 来 ， 并 且 将 他 移 除 ? 
如 果 要 捉 出 程序 (process) 的 话 ， 可 以 使 用 ps -aux 或 者 是 直接 输入 top 
来 查询 process 的 ID (PID)， 找 到 PID 号 码 后 ， 再 以 kill -9 PID 来 删除 


该 
程序 即 可 。 


我 总 是 无 法 编辑 茶 个 档案 ， 你 认为 应 该 是 什么 问题 造成 的 ? 那 义 要 怎 
么 解 


决 ? 
无 法 编辑 某 个 档案 ， 可 以 先 使 用 fe 这 个 指令 来 查询 一 下 该 档案 的 格 





武 ， 
例如 想 察看 /etc/shadow 的 格式 ， 可 以 下 达 : 『fije /etc/shadow」， 如 果 
是 


aa 却 还 是 无 法 编辑 ， 那 么 最 可 能 发 生 的 原因 就 是 『 权 限 上 的 问 
题 了 。 


以 使 用 ls -] filename 家 看 档案 权限 ， 再 以 chmod 或 chown 来 修订 该 档案 
的 


权限 。 此 外 ， 该 档案 能 含有 隐藏 属性 ， 可 以 使 用 lsattr filename 碍 
阅 ， 


再 以 chattr 来 修订 隐藏 属性 。 
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你 认为 一 个 称职 的 网 管 人 员 应 该 具备 什么 能 力 ? 
能 力 需 求 相 当 高 ， 如 了 () 操 作 系统 的 基础 知识 (不 论 是 


Linux/Unix/MAC/MS); (2) 网 络 基 础 的 知识 ; (3) 个 别 Internet Services 的 
运 


， 还 需要 (4) 号 心 保 持 在 备战 状态 ， 以 及 (5) 具 有 相当 高 程度 
首 德 


责任 感 与 使 命 感 


我 要 关 掉 cron 这 个 服务 ， 应 该 怎么 关 掉 他 ? 如 果 正 常 的 方法 无 法 关 
闭 这 个 


服务 ， 可 以 使 用 什么 方法 来 关闭 ? 
因为 cron 是 一 个 stand alone 的 服务 ， 所 以 可 以 使 用 
/etc/rc.d/init.d/cron stop 来 关闭 ; 如 果 还 是 无 法 正常 关闭， 可 以 使 用 ps 


-aux | grep cron 捉 出 该 程序 的 PID ， 然 后 以 kill -9 PID 来 关闭 。 
如 果 一 开机 束 要 执行 某 个 程序 ， 应 该 要 将 该 程序 写 入 那个 档案 里 面 ? 
可 以 直接 在 /etc/rc.d/rc[run-level].d 里 面 加 入 S 开头 的 档案 ， 不 过 ， 


更 简单 的 作法 是 直接 将 该 程序 写 入 /etc/rc.d/rc.local ， 不 过 ， 请 注意 该 程 
序 


必须 要 具有 可 执行 的 权限 ， 且 rc.local 也 必须 要 是 可 执行 喔 ! 
2003/07/30: 第 一 次 完成 日 期 ! 


2003/08/19: 加 入 了 课 后 练习 ， 如 果 你 无 法 回答 上 面 的 问题 .… 不 要 怀 
疑 ， 赶 紧 回 去 


参考 Linux 基础 篇 ! 
2003/09/06: 加 入 课 后 练习 的 参考 用 解答 
2006/02/07: 将 原本 的 旧 文 移 到 此 处 


2006/06/06: 将 SATA 接口 的 硬盘 代号 再 次 做 个 修订 ! 目前 SATA 的 格 
式 有 分 两 种 呢 ! 


2007/01/02: 将 一 些 排版 重 整 ， 将 一 些 日 期 方面 的 数据 重 整 ， 将 课 后 练 
习 补 上 来 


2010/05/07: 将 CentOS 4.x 为 底 的 旧 文 章 移动 到 此 处 


2010/07/22: 重新 设计 服务 器 安装 流程 ， 并 且 在 每 个 基础 数据 都 加 上 练 
习 ! 尤其 是 全 新 


安装 一 部 server 以 供 使 用 ! 
2011/07/14: 将 原本 基于 CentOS 5.x 为 底 的 旧 文 音 移 动 到 此 处 


2011/07/14: 将 安装 与 设 定 的 数据 通通 改 为 CentOS 6.x 的 版 本 嗓 ! 更 新 
真 困扰 一 @_@ 
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最 近 更 新 日 期 : 2011/07/15 


你 的 服务 器 是 放 在 网 络 网 络 上 面 来 提供 服务 的 ， 所 以 ， 如 果 没 有 网 络 或 
者 是 网 络 不 通 ， 那 么 你 的 服务 器 


当然 是 英雄 无 用 武之 地 啦 ! 此外， 服务 器 上 面 的 网 络 服务 都 是 用 来 达 
成 荣 项 因特网 的 通讯 协议 ， 以 提供 


相对 应 的 服务 而 已 。 所 以 哆 ， 你 当然 得 要 知道 这 个 最 基础 的 网 络 概 
念 ， 人 否则 ， 当 服务 器 的 服务 出 现 问题 


时 ， 你 该 如 何 解决 啊 ? 您 说 对 吧 ! 这 部 份 最 重要 的 是 TCP/IP 与 OSI 七 
层 协议 的 相关 概念 了 ， 这 部 份 


难 的 很 一 难 的 很 一 ”在 这 一 章 中 ， 乌 哥 以 较为 口语 的 方式 来 介绍 这 些 基 
础 网 络 架 构 ， 和 希望 能 带 给 朋友 们 快 


速 了 解 网 络 是 喻 。 “当然 ， 想 要 更 了 解 网 络 相关 功能 的 话 ， 文 末 的 参考 
资料 可 以 参考 看 看 喔 ! 人 和 








2.1 网 络 是 个 什么 玩意 

















2.5 连 上 Internet 前 的 准 项 





2.1 网 络 是 个 什么 玩意 儿 





全 世界 的 人 种 有 很 多 ， 人 类 使 用 的 语言 种 类 也 多 的 很 。 那 如 果 你 想 要 跟 
外 国人 沟通 


时 ， 除 了 比 手 划 脚 之 外 ， 你 要 如 何 跟 对 方 讲话 ? 大 概 只 有 两 种 方式 
哆 ， 一 种 是 强迫 他 


学 中 文 ， 一 种 则 是 我 们 学 他 的 语言 ， 这 样 才能 沟通 啊 。 在 目前 世界 上 的 


强势 语言 还 是 属 


于 英语 系 国家 ， ”所 以 喝 ， 不 管 是 喻 人 种 ， 只 要 学 好 英文 ， 那 么 大 家 者 
讲 瑞 文 ， 彼 此 束 


能 够 沟通 了 。 和 希望 不 久 的 未 来 ， 咀 们 的 中 文 能 够 成 为 强势 语言 啊 ! 
念 延伸 到 网 络 上 面 也 是 行 的 通 的 ， 全 世界 的 操作 系统 多 的 很 ， 不 








这 个 观 
是 


只 有 


Windows/Linux 而 已 ， 还 有 苹果 计算 机 自己 的 操作 系统 ， Unix like 的 操 
作 系 统 也 非 


常 多 ! 那么 多 的 操作 系统 (人 种 ) 要 如 何 进行 网 络 沟通 (语言 ) 呢 ? 那 就 
得 要 制订 共同 


遵守 的 标准 才 行 了 。 这 个 标准 是 由 国际 组 织 规范 的 ， 你 的 系统 里 面 只 要 
提供 可 以 加 入 该 


标准 的 程序 代码 ， ” 那 你 就 能 够 透 过 这 个 标准 与 其 他 系统 进行 沟通 ! 所 
以 吃 ， 网 络 是 路 


平台 的 ， 并 不 是 只 有 Linux 才 这 么 做 ! 因此 ， 这 部 份 的 资料 你 学 完 后 ， 
是 可 以 应 用 在 


所 以 操作 系统 上 面 的 ! 观念 都 相同 啊 ! 


男 外 ， 这 一 个 半 市 骨 在 引导 网 络 新 鲜 人 快速 进入 网 络 的 世界 ， 所 以 鸟 哥 
写 的 比较 浅 


显 一 些 些 ， 基 本 上 ， ”还 有 一 堆 网 络 硬件 与 通讯 协议 并 没有 被 包含 在 这 
篇 短文 里 头 。 如 


果 你 的 求知 欲 已 经 高 过 本 章节 ， ”那么 请 自行 到 书局 寻找 适合 你 自己 的 
书籍 来 阅读 ! 当 


0 和 本 章 最 后 的 参 
数据 可 以 瞧 一 上 


响 ! 
2.1.1 什么 是 网 络 


我 们 都 知道 ， 网 络 就 是 几 部 计算 机 主机 或 者 是 网 络 打印 机 之 类 的 接口 设 


网 络 线 或 者 是 无 线 网 络 的 技术 ， 将 这 些 主机 与 设备 连接 起 来 ， ”使 得 数 
据 可 以 透 过 网 络 





























0 他 网 络 卡 等 硬件 ) 来 传输 的 一 种 方式 。 ”请 你 想象 一 
下 ， 如 果 你 家 


面 只 有 计算 机 、 打 印 机 、 传 真 机 等 机 器 ， 却 没有 网 络 连接 这 些 便 件 ， 
那么 使 用 平 会 丰 


会 很 及 烦 ? 如 条 将 这 个 场景 移 到 需要 工作 的 办 公 室 时 ， ”计算 机 的 数据 
无 法 使 用 网 络 连 


接 到 打印 机 来 打印 ， 那 是 否 很 伤 脑 筋 呢 ? ”对 吧 ! 光 用 想 的 束 觉 得 很 豚 
烦 吧 ! 不 圣 的 是 ， 


这 些 麻 焕 事 在 1970 年 代 以 前 ， 确 实 是 存在 的 啊 ! 
各 目 为 政 的 『 网 络 硬件 与 软件 」 技术 发 展 : Ethernet & Token-Ring 


在 1970 年 代 前 后 ， 为 了 解决 这 个 烦人 的 数据 传输 问题 ， 各 主要 信息 相 
天 的 公司 


都 在 研究 各 目的 网 络 连接 技术 ， ”以 使 目 家 的 产品 可 以 在 办 公 室 的 环境 
底下 组 织 
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I 其 中 比较 有 名 的 就 是 全 录 公 司 的 Ethemet 技术 ， 以 及 IBM 研发 
0 





Token-Ring 技术 了 。 但 是 这 些 技术 有 个 很 大 的 问题 ， 那 就 是 它们 彼此 不 
认识 对 


的 网 络 技术 ! 也 就 是 说 ， 万 一 你 的 办 公 室 购买 了 整合 Ethemet 技术 的 
计 和 


机 主机 ， 但 是 其 他 的 计算 机 却 是 使 用 IBM 的 机 器 时 ， 想 要 在 这 两 者 之 
间 进 行 数 


据 的 沟通 ， 在 早期 来 说 那 是 不 可 能 的 。 


以 『 软 件 」 技 术 将 硬件 整合 : ARPANET & TCP/IP 





和 所 以 在 1960 年 代 末 期 美国 国防 部 
就 开始 研 


究 二 个 可 以 在 这 此 不 同 的 网 络 硬件 上 面 十 作 的 软件 技术 ，。 使 得 不 同 公 
司 的 计 和 


机 或 数据 可 以 透 过 这 个 软件 来 达成 数据 沟通 。 这 个 研究 由 美国 国防 部 尖 
端 研究 企 





团团 (Defense Advanced Research Project Agency, DARPA) 负 贡 ， 他 们 将 
该 


网 络 系 统称 为 ARPANET， 这 个 响 响 就 是 目前 熟知 的 TCP/IP 技术 的 骏 
形 了 1 在 


1975 年 左右 ， ARPANET 已 可 以 在 常见 的 Ethernet 与 Token-Ring 等 硬 
全 


底下 互通 数据 了 。DARPA 在 1980 年 正式 推出 TCP/IP 技术 后 ， 由 于 想 
要 推展 


此 项 技术 ， 因 此 与 相克 莱 (Berkeley) 大 学 合作 ， 将 TCP/IP 植 入 著名 的 
BSD 


Unix 系统 内 ， 由 于 大 学 乃 是 未 来 人 才 数 据 库 的 培养 处 ， 所 以 ， TCP/IP 
这 项 技 


术 便 吸引 越 来 越 多 使 用 者 的 投入 ， ”而 这 种 连接 网 络 的 技术 也 被 称 之 为 


Internet 
( 注 1)。 
没有 任何 王 法 的 因特网 : Internet 


现在 我 们 知 辐 Internet 就 是 使 用 TCP/IP 的 网 络 连接 技术 所 串联 起 来 的 一 


网 络 世 界 ， 而 这 个 Internet 在 1980 年 代 之 后 由 于 对 email 的 需求 以 及 浏 
览 


Lay 


恬 图 形 接口 的 兴起 ， 因此 快速 的 昌 延 在 计算 机 世界 中 。 但 是 ， Internet 


冯 
有 人 在 管理 啊 ? 很 不 巧 的 是 ， Internet 是 一 个 管理 相当 松散 的 所 在 。 只 


要 你 


On TCP/IP 技术 的 硬件 与 操作 系统 ， 并 且 实 际 连 接 上 网 
0D/D，, 尔 


， Internet 的 世界 了 。 在 该 世界 当中 ， 没 有 任何 王 法 的 保护 ， 你 的 
实际 考 


Internet ， 在 任何 时 刻 都 需要 自己 保护 自己 ,免得 中 了 『 流 
弹 ] 


而 受伤 啊 ! 


为 甚么 说 Internet 没有 王 法 呢 ? 这 是 因为 Internet 仅 是 提供 一 个 网 络 的 
连 


接 接 口 ， 所 以 你 只 要 连接 上 Internet 后 ， 全 世界 都 可 以 任 你 邀 游 ， 不 过 
也 因 


为 如 此 ，『 跨 海 」 而 来 的 攻击 束 成 了 简单 的 事件 ， ”简单 说 ， 台 湾 的 法 
侍 公 运用 


台湾 地 区 对 吧 ? 但 是 计算 机 怪 客 (cracker) 可 以 在 国外 透 过 Internet 对 你 
的 





主机 进行 攻击 ， ”我 们 的 法 律 可 管 不 到 国外 地 区 啊 ! 虽然 可 以 透 过 很 多 
国际 管道 


来 寻求 协助 ， 不 过 ， 还 是 很 难 协助 你 缉拿 凶手 的 啊 。 ”因此 哆 ， 在 你 的 
E 


上 Internet 之 前 ， 请 先 询问 自己， 真 的 有 需要 连 上 Internet 吗 ? ^ 和 


软 便 件 标准 制定 的 成 功 市 来 的 影响 : IEEE 标准 规范 








现在 我 们 第 第 听 到 『 你 要 上 网 啊 ! 那 你 要 去 买 网 络 卡 喔 ! 还 得 要 连接 到 


Internet 


才 行 啊 ! 」 这 个 网 络 卡 就 是 市 面 上 随处 可 见 的 一 个 适 配 卡 而 已 ， 全 于 


Internet 
则 是 去 回 Hinet/Seed net 或 其 他 网 络 服务 提供 公司 (Internet Service 


Provider， ISP) 申请 的 账号 密码 。 问题 是 ， 是 人 否 束 只 有 透 过 网 络 卡 与 
Internet 
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呵呵 ! 当然 不 是 ! 其 他 不 同 的 网 络 人 硬件 与 软件 可 多 看 那 ! 
\ 过 ， 


最 成 功 的 却 是 以 太 网 络 (Ethernet) 与 Internet ， 这 是 为 甚么 呢 ? 这 两 者 的 
技 








术 比 较 好 吗 ? ”当然 不 是 ! 这 是 因为 这 两 者 都 被 『 标 准 」 所 文 持 的 缘故 
( 注 2)。 

以 太 网 络 最 初 是 由 全 录 公 司 (Xerox PARC) 所 建构 出 来 的 ， 而 后 透 过 
DEC, Intel 


与 Xerox 合作 将 以 太 网 络 标准 化 。 再 经 由 IEEE (Institute of Electrical 
and 





Electronic Engineers 注 3) 这 个 国际 著名 的 专业 组 织 利 用 一 个 802 的 项 目 
制 | 


定 出 标准 ， 之 后 有 19 家 公司 宣布 支持 IEEE 所 发 布 的 802.3 标准 ， 并且 
到 了 


1989 年 国际 标准 化 组 织 ISO (International Organization for Standard) 将 


以 太 网 络 编 入 IS88023 标准 ， 呵呵 ! 这 表示 以 太 网 络 已 经 是 一 项 公认 的 
标准 接 


口 了 ， 如 此 一 来 ， 大 家 都 可 以 依据 这 个 标准 来 设 定 与 开发 目 己 的 便 件 ， 


只 要 便 


件 符合 这 个 标准 ， 理 论 上 ， 他 项 能 够 加 入 以 太 网 络 的 世界 ， 所 以 ， 购 买 
以 太 网 络 


ee 
功能 有 哪 


些 ， 而 不 必 知 道 这 个 以 太 网 络 卡 是 由 哪 家 公司 所 制造 的 响 。 








Tips: 

标准 真 的 是 个 很 重要 的 东西 ， 真 要 感谢 这 些 维护 标准 的 专业 组 织 。 

当 有 公司 想 要 开发 新 的 硬件 时 ， 它 可 以 参考 标准 组 织 所 发 布 与 维护 
的 文件 资料 ， 透 过 这 些 文件 数据 后 ， 该 公司 就 知道 要 制作 的 硬件 需 
要 符合 哪些 标准 ， 同时 也 知道 如 何 设计 这 些 硬件 ， 让 它 可 以 『 兼 容 」 
于 目前 的 机 器 ， 让 使 用 者 不 会 无 所 适 从 啊 。 包 括 软 件 也 有 标准 ， 嘻 
期 Linux 在 开发 时 就 是 透 过 了 解 POSIX 这 个 标准 来 设计 核心 的 ， 

也 使 得 Linux 上 面 可 以 执行 大 多 数 的 标准 接口 软件 呢 ! 你 说 ,标准 
是 否 真 的 很 重要 啊 ! 


除了 硬件 之 外 ，TCP/IP 这 个 Internet 的 通讯 协议 也 是 有 标准 的 ， 这 些 
标准 大 











部 分 都 以 REC (Request For Comments, 注 4) 的 形式 发 布 标准 文件 。 透 


些 文 件 的 辅助 ， 任 何人 只 要 会 写 程 序 语言 的 话 ， 就 有 可 能 发 展 出 自己 的 
TCP/IP 


软件 ， 并 且 连 接 上 Internet 。 早 期 的 Linux 为 了 要 连接 上 Internet ， 


Linux 


团队 就 自己 撰写 出 TCP/IP 的 程序 代码 ， 透 过 的 就 是 这 些 基础 文件 的 标 
; 准 依 据 

啊 ! 举例 来 说 RFC 1122 ( 注 _5) 这 个 建议 文件 就 指出 一 些 可 以 联机 到 
Internet 的 主机 应 该 要 注意 的 相关 协议 与 基本 需求 ， 让 想 要 撰写 联机 程 
序 的 设计 师 可 以 

有 一 个 指引 的 标准 方向 。 

2.1.2 计算 机 网 络 组 成 组 件 


接 下 来 ， 让 我 们 来 谈 谈 那 么 组 成 计算 机 网 络 的 组 件 有 哪些 呢 ? 这 些 组 件 
的 定义 为 何 


啊 ? 我 们 得 要 先知 道 有 哪些 硬件 啉 ! ” 接 下 来 才 好 理解 啊 。 在 这 里 ， 我 
们 以 底下 这 张 联 


机 示意 图 来 解释 好 了 : 
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ADSL 数据 机 


图 2.1-1、 计 算 机 网 络 联机 示意 图 
在 上 图 中 ， 我 们 主要 需要 注意 到 的 硬件 有 哪些 呢 ? 大 致 有 底下 这 些 啦 ; 





市 点 (node): 节 扣 主要 是 具有 网 络 地 址 (IP) 的 设备 之 称 ， 因此 上 面 
图 示 


中 的 一 般 PC、Linux 服务 器 、ADSL 调制 解 调 器 与 网 络 打 印 机 等 ， 个 别 
都 可 以 称 


为 一 个 node ! 那 中 间 那 个 集 线 右 (hub) 是 不 是 节点 呢 ? 因为 他 不 具有 
IP ， 


因此 hub 不 是 节点 。 


本 站 (serveD: 号 网 络 联 机 的 方向 来 说 ， 提 供 数 据 以 『 啊 应 ] 


一 口 


户 的 主机 ， 都 可 以 被 称 为 是 一 部 服务 器 。 举 例 来 说 ，Yahoo ”是 个 
WWW 服务 器 ， 


昆山 的 EIP (http://ftp.ksu.edu.tw/) 是 个 文件 服务 器 等 等 。 
工作 站 (workstation) 或 客户 端 (client): 任何 可 以 在 计算 机 网 络 输入 的 





设备 都 可 以 是 工作 站 ， 行 以 联机 发 起 的 方向 来 说 ， 主 动 发 起 联机 去 
[要 求 ] 数 


据 的 ， 就 可 以 称 为 是 客户 端 (client)。 举 例 来 说 ， 一 般 PC 打开 浏览 器 对 
Yahoo 


要 求 新 闻 数 据 ， 那 一 般 PC 就 是 客户 端 。 

网 络 卡 (Network Interface Card, NIC): 内 建 或 者 是 外 插 在 主机 上 面 的 
人 
卡 。 一 般 node 上 都 具有 一 个 以 上 的 网 络 卡 ， 以 达成 网 络 联机 的 功能 。 
0 
务 。 一 张 网 卡 至 少 可 以 搭配 一 个 以 上 的 网 络 接 口 ， 而 每 部 主机 内 部 其 
实 也 都 拥 
有 一 个 内 部 的 网 络 接 口 ， 那 就 是 loopback (lo) 这 个 循环 测试 接口 ! 

网 络 形态 或 拓 村 (topology): 各 个 节点 在 网 络 上 面 的 链接 方式 ， 一 般 


讲 的 


举例 来 说 ， 上 图 中 显示 的 是 一 种 被 称 为 星 形 联机 
(star) H 


0 以 放映 状 的 方式 连接 各 个 节 扣 
一 种 形 


态 ， 这 就 是 一 种 拓 朴 。 
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0 


网 关 (route) 或 通讯 闸 (gateway): 具有 两 个 以 上 的 网 络 接口 ， 可 以 连 
接 


两 个 以 上 不 同 的 网 段 的 设备 ,例如 ”IP 分享 器 就 是 一 个 常见 的 网 关 设 
备 。 那 上 面 





的 ADSL 调制 解 调 占 算 不 算 网 关 呢 ? 其 实 不 太 能 算 ， 因 为 调制 解 调 器 
通常 视 为 


二 个 在 主机 内 的 网 卡 设备， 我 们 可 以 在 一 般 PC 上 面 透 过 拨号 软件 ， 将 
调制 解 


调 喜 仿 真 成 为 一 张 实体 网 卡 (ppp) ， 因 此 他 个 太 能 算是 网 天 设备 啦 ! 


网 络 设备 其 实 非常 多 也 非常 复杂 ， 不 过 如 果 以 小 型 企业 角度 来 看 ， 我 们 
能 够 了 解 上 


述 图 示 内 各 设备 的 角色 ， 那 应 该 也 足够 时! 接 下 来 ， 让 我 们 继续 来 讨 
沦 一 下 网 络 范 转 


的 大 小 吧 ! 
2.1.3 计算 机 网 络 区 域 范 围 


由 于 各 个 节点 的 距离 不 同 ， 联 机 的 线材 与 方式 也 有 所 差异 ， 由 于 线材 的 
差异 也 导致 


网 络 速度 的 不 同 ， 让 网 络 的 应 用 方 癌 也 不 一 样 。 ”根据 这 些 兰 异 ， 早 期 
我 们 习惯 将 网 络 


的 大 小 范围 定义 如 下 : ( 注 6) 
局 域 网 络 (Local Area Network, LAN): 


节点 之 间 的 传输 距离 较 近 ， 例 如 一 栋 大 楼 和 内， 或 一 个 学 校 的 校区 内 。 可 
以 使 用 较 








On 例如 光纤 或 是 高 质量 网 络 线 (CAT 6) 等 。 网 络 速度 


联机 质量 较 佳 且 可 靠 ， 因 此 可 应 用 于 科学 运算 的 从 集 式 系统 、 ”分 布 式 
会 


端 人 负荷 分 担 系统 等 。 
广域网 (Wide Area Network, WAN): 


传输 距离 较 远 ， 例 如 城市 与 城市 之 间 的 距离 ， 因 此 使 用 的 联机 媒体 需要 
较为 便宜 


的 设备 ， 例 如 经 党 使 用 的 电话 线 就 是 一 例 。 “由 于 线材 质量 较 着 ， 因 此 
网 络 速度 


较 慢 且 可 靠 性 较 低 一 些 ， 网 络 应 用 方面 大 多 为 类 似 email, FTP, WWW 


浏览 等 功 





会 忆 
月 上。 


除了 这 两 个 之 外 ， 还 有 所 谓 的 都 会 网 络 (Metropolitan Area Network, 
MAN), 不 


过 近来 比较 少 提 及 ， 因 此 你 只 要 知道 有 LAN 及 WAN 即 可 。 这 两 个 名 
词 在 很 多 地 方 你 都 


可 以 看 的 到 喔 ! 改天 你 回 家 看 看 你 家 的 ADSL 调制 解 调 器 或 IP 分 享 器 
后 面 的 插 孔 看 看 ， 


你 就 能 够 看 到 有 WAN 与 LAN 的 插 孔 ， 现 在 你 就 知道 为 啥 有 这 两 个 灯 
号 与 插 孔 了 吧 。 


一 般 来 说 ，LAN 指 的 是 区 域 范围 较 小 的 环境 ， 例 如 一 栋 大 楼 或 一 间 学 
校 ， 所 以 在 我 


们 生活 周遭 有 着 许 许多 多 的 LAN 存在 。 那 这 些 LAN 彼此 上 串 接 在 一 
起 ， 全 部 的 LAN 串 


在 一 块 就 是 一 个 大 型 的 WAN 嘿 ! 简单 的 说 ， 就 是 这 样 分 。 
不 过 ， 现 在 的 环境 跟 以 前 不 一 样 了 ， 举 例 来 说 ， 前 几 天 刚刚 宣布 





(2011/07)， 光 纤 


的 速度 已 经 可 以 到 达 100Mbps/10Mbps 的 下 载 /上 传 带宽 了 ! 再 举例 来 
说 ， 台 湾 的 学 术 


网 络 通 通 是 串 在 一 块 的 ， 乌 哥 在 台南 昆山 联机 到 高 雄 义 守 大 学 下 载 
CentOS 映像 档 时 ， 


你 猜 下 载 的 速度 有 多 快 ? 每 秒 钟 可 高 达 100Mbps 左右 ! 这 已 经 是 一 个 
内 部 区 网 的 速度 


了 ! 所 以 ， 用 以 前 的 观点 来 看 ， 其实 对 目前 的 网 络 环境 有 点 不 符 现 象 
了 。 因 此 , 目前 
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粹 送 主 机 收受 主机 







只 认识 对 方 相同 阶 导 


只 认 议 对 方 相同 册 举 


只 环 或 对 方 相同 隐 展 


只 认 吉 对 方 相 同 隐 ; 


于 





只 认识 对 方 相同 上 旷 周 


Ee 


你 可 以 使 用 『 速 度 」 作 为 一 个 网 络 区 域 范围 的 评 量 。 或 许 现在 我 们 可 


以 说 ， 整 个 台湾 

的 学 术 网 络 (TANET, 注 7) 可 以 视 为 是 一 个 局 域 网 络 呢 ! 

2.1.4 计算 机 网 络 协议 : OSI 七 层 协 定 

谈 完 了 网 络 需要 制订 的 标准 、 网 络 联 机 的 组 件 以 及 网 络 的 范围 之 后 ， 接 


下 来 就 是 要 


讲 到 ， 那 么 各 个 节点 之 间 是 如 何 沟通 讯息 的 呢 ? ”其 实 就 是 透 过 标准 的 
通讯 协议 啦 ! 但 


和 是， 整个 网 络 连接 的 过 程 相当 复 洒 ， 包 括 人 硬件、 软件 数据 封包 与 应 用 程 
序 的 互相 链接 等 


等 ，“ 如 果 想 要 写 一文 将 联网 全 部 功能 都 串 连 在 一 块 的 程序 ， 那 么 当 茶 
个 小 环 市 出 现 问 


题 时 ， 整 只 程序 都 需要 改写 啊 ! 真 麻 烦 ! 
那 怎 办 ? 没关系 ， 我 们 可 以 将 整个 网 络 连接 过 程 分 成 数 个 阶层 (layem)， 


每 个 阶层 


都 有 特别 的 独立 的 功能 ， “而且 每 个 阶层 的 程序 代码 可 以 独立 撰写 ， 因 
为 每 个 阶层 之 间 


的 功能 并 不 会 互相 干扰 的 。 “如 此 一 来 ， 当 茶 个 小 环节 出 现 问题 时 ， 只 
要 将 该 层级 的 程 


序 代 码 重 新 撰写 即 可 。 上 所 以 程序 撰写 也 容易 ， 整 个 网 络 概念 也 束 更 清 
晰 ! 那 就 是 目前 


你 常 听 到 的 OSI 七 层 协议 (Open System Interconnection) 的 概念 虽 ! 
如 果 以 图 示 来 说 ， 那 么 这 七 个 阶层 的 相关 性 有 点 像 底下 这 样 : 
图 2.1-2、OSI 七 层 协议 各 阶层 的 相关 性 
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三 用 程式 EI 


A | Application 
Layer 


Layer 
Session 


Layer 
ms 
Data-Link 
ee Layer 





人 
则 是 高 层 


(ayer 7)。 不 论 是 接收 端 还 是 发 送 端 ， 每 个 一 阶层 只 认识 对 方 的 同一 阶 
层 数据 。 而 


整个 传送 的 过 程 就 好 像 人 们 在 玩 整 人 游戏 一 般 ， 我 们 透 过 应 用 程序 将 数 
据 放 入 第 七 层 的 


包 囊 ， 再 将 第 七 层 的 包 于 放 到 第 六 层 的 包 里 内 ， ” 依 序 一 直 放 到 第 一 层 
的 最 大 的 包 衷 内 ， 


然后 传送 出 去 给 接收 端 。 接 收 端 的 主机 就 得 由 第 一 个 包 里 开始 ， 依 序 将 
每 个 包 里 拆 开 ， 


然后 一 个 一 个 交 给 对 应 负责 的 阶层 来 视察 ! 这 束 是 整 人 游戏 ... 喔 ! 是 
OSI 七 层 协 议 在 


阶层 定义 方面 需要 注意 的 特色 。 








既然 说 是 包 衷 ， 那 我 们 都 知道 ， 包 庄 表 面 都 会 有 个 重要 的 信息 ， 这 些 信 
恩 包 括 有 来 


自 哪 里 、 要 去 哪里 、 接 收 者 是 谁 等 等 ， ”而 包 奢 里 面 才 是 真正 的 数据 。 
同样 的 ， 在 七 层 


协议 中 ， 每 层 都 会 有 自己 独特 的 表 头 数据 (header)， 告 知 对 方 这 里 面 的 
信息 是 什么 ， 而 


真正 的 数据 就 附 在 后 头 嘱 ! 我 们 可 以 使 用 如 下 的 图 示 来 表示 这 七 层 每 一 
层 的 名 字 ， 以 及 


数据 是 如 何 放 置 到 每 一 层 的 包 衷 内: 
图 2.1-3、OSI 七 层 协议 数据 的 传递 方式 


上 图 中 仔细 看 每 个 数据 报 的 部 分 ， 上 层 的 包 衷 是 放 入 下 层 的 数据 中 ， 而 
数据 前 面 则 


征 这 个 数据 的 表 头 。 其 中 比较 特殊 的 是 第 二 层 ， 因为 第 二 层 (数据 链 结 
层 ) 主要 是 位 


于 软件 封包 (packeb 以 及 硬件 讯 框 (frame) 中 间 的 一 个 阶层 ， 他 必须 要 
将 软件 包装 


的 包 夺 放 入 到 硬件 能 够 处 理 的 包 于 中 ， 因 此 这 个 阶层 又 分 为 两 个 子 层 在 
处 理 相 对 应 的 数 


据 。 7 所 以 您 瞧 瞧 ， 第 二 层 的 数据 格式 比较 不 一 样 喔 ， 
尾 端 还 出 现 一 


检查 码 哩 ~ 


每 一 个 阶层 所 负责 的 任务 是 什么 呢 ? 简单 的 说 ， 每 一 层 人 负责 的 任务 如 
ht 











负责 内 容 
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由 于 网 络 媒体 只 能 传送 0 与 1 这 种 位 串 ， 因 此 物理 层 必 须 
Layer 1 

定义 所 使 用 的 媒体 设备 之 电压 与 讯号 等 ， 同时 还 必须 了 解数 
物理 层 

据 讯 框 转 成 位 串 的 编码 方式 ， 最 后 连接 实体 媒体 并 传送 /接收 
physical Layer 

位 串 。 

这 一 层 是 比较 特殊 的 一 个 阶层 ， 因 为 底下 是 实体 的 定义 ， 而 
上 层 则 是 软件 封装 的 定义 。 因 此 第 二 层 又 分 两 个 子 层 在 进行 
数据 的 转换 动作 。 在 偏 硬件 媒体 部 分 ， 主 要 负责 的 是 MAC 
(Media Access Control) ， 我 们 称 这 个 数据 报 于 为 MAC 讯 
框 (frame)， MAC 是 网 络 媒体 所 能 处 理 的 主要 数据 报 里 ， 这 
也 是 最 终 被 物理 层 编码 成 位 串 的 数据 。MAC 必须 要 经 由 通讯 











Layer 2 
协议 来 取得 媒体 的 使 用 权 ， 目前 最 常 使 用 的 则 是 IEEE 
数据 链 结 层 


802.3 的 以 太 网 络 协 议 。 详 细 的 MAC 与 以 太 网 络 请 参考 下 市 


Data-Link Layer 说 明 。 


至 于 偏向 软件 的 部 分 则 是 由 逻辑 链接 层 (logical link 
control, LLC) 所 控制 ， 主 要 在 多 任务 处 理 来 自 上 层 的 封包 
数据 (packeb 并 转 成 MAC 的 格式 ， 负责 的 工作 包括 讯息 
交换 、 流 量 控制 、 失 误 问 题 的 处 理 等 等 。 

这 一 层 是 我 们 最 感 兴趣 的 嗓 ， 因 为 我 们 提 及 的 IP (Internet 
Layer 3 

Protocol) 就 是 在 这 一 层 定义 的 。 同时 也 定义 出 计算 机 之 间 
网 络 层 

的 联机 建立 、 终 止 与 维持 等 ， 数 据 封 包 的 传输 路 径 选 择 等 等 ， 





Network Layer 

因此 这 个 层级 当中 最 重要 的 除了 IP 之 外 ， 就 是 封包 能 否 到 
达 目 的 地 的 路 由 (route) 概念 了 ! 

这 一 个 分 层 定 义 了 发 送 站 与 接收 站 的 联机 技术 (如 TCP, UDP 
Layer 4 

技术 )， 同时 包括 该 技术 的 封包 格式 ， 数 据 封包 的 传送 、 流 
传送 层 

程 的 控制 、 传 输 过 程 的 侦 测 检查 与 复原 重新 传送 等 等 ， 以 确 
Transport Layer 保 各 个 资料 封包 可 以 正确 无 误 的 到 达 目 的 端 。 
在 这 个 层级 当中 主要 定义 了 两 个 地 址 之 间 的 联机 信道 之 连接 








Layer 5 


与 挂 断 ， 此 外 ， 亦 可 建立 应 用 程序 之 对 谈 、 提供 其 他 加 强 型 
会 谈 层 


服务 如 网 络 管理 、 签 到 签 退 、 对 谈 之 控制 等 等 。 如 果 说 传送 








Session Layer 
层 是 在 判断 资料 封包 是 否 可 以 正确 的 到 达 目 标 ， 那么 会 谈 层 
则 是 在 确定 网 络 服务 建立 联机 的 确认 。 

我 们 在 应 用 程序 上 面 所 制作 出 来 的 数据 格式 不 一 定 符合 网 络 
传输 的 标准 编码 格式 的 ! 所 以 ， 在 这 个 层级 当中 ， 主 要 的 动 





Layer 6 
作 就 是 : 将 来 目 本 地 端 应 用 程序 的 数据 格式 转换 (或 者 是 重新 
表现 层 
编码 ) 成 为 网 络 的 标准 格式 ， 然后 再 交 给 底下 传送 层 等 的 协 


Presentation Layer 议 来 进行 处 理 。 所 以 ， 在 这 个 层级 上 面 主要 定义 的 是 
网 络 服 


务 (或 程序 ) 之 间 的 数据 格式 的 转换 ， 包 括 数据 的 加 解密 也 是 
在 这 个 分 层 上 面 处 理 。 





Layer 7 
应 用 层 本 里 并 不 属于 应 用 程序 所 有 ， 而 古 在 定义 应 用 程序 如 
应 用 层 
何 进 入 此 层 的 沟通 接口 ， 以 将 数据 接收 或 传送 给 应 用 程序 ， 











net.qiang(Ohotmail.com 


0 


OSI 七 层 声 定 


岗 路 悄 


资料 链 和 结 层 
鹤 体 居 WAN: Modem, ISDN, ATM. Serial 





Application Layer 最 终 展示 给 用 户 。 


事实 上 ， OSI 七 层 协议 只 是 一 个 参考 的 模型 (model)， 目 前 的 网 络 社会 
并 没有 什么 很 


知名 的 操作 系统 在 使 用 OSI 七 层 协议 的 联网 程序 代码 。 那 .. 讲 这 么 多 干 
嘛 ? 这 是 因为 


OSI 所 定义 出 来 的 七 层 协议 在 解释 网 络 传输 的 情况 来 说 ， 可 以 解释 的 非 
常 棒 ， 因 此 大 


家 都 拿 OSI 七 层 协 议 来 做 为 网 络 的 教学 与 概念 的 理解 。 至 于 实际 的 联网 
程序 代码 ， 那 


就 交 给 TCP/IP 这 个 玩意 儿 吧 ! 
2.1.5 计算 机 网 络 协议 : ”TCP/IP 


里 然 OSI 七 层 协议 的 架构 非常 严谨 ， 是 学 习 网 络 的 好 材料 。 但 是 也 瓯 是 
因为 太 过 


严谨 了 ， 因 此 程序 撰写 相当 不 容易 ， “所 以 造成 它 在 发 展 上 面 些许 的 困 
扰 。 而 由 ARPANET 





发 展 而 来 的 TCP/IP 又 如 何 呢 ? 其 实 TCP/IP 也 是 使 用 OSI 七 层 协 议 的 观 
念 ， 所 以 同 


样 具有 分 层 的 架构 ， 只 是 将 它 简 化 为 四 层 ， 在 结构 上 面 比较 没有 这 么 严 
谨 ， 程 序 撰写 会 


比较 容易 些 。 后 来 在 1990 年 代 由 于 email WWW 的 流行 ， 造 成 TCP/IP 
这 个 标准 为 大 


家 所 接受 ， 这 也 造 束 目前 我 们 的 网 络 社会 哆 ! 


既然 TCP/IP 是 由 OSI 七 层 协议 简化 而 来 ， 那 么 这 两 者 之 间 有 没有 什么 
相关 性 呢 ? 


它们 的 相关 性 可 以 图 示 如 下 ， ”同时 这 里 也 列 出 目前 在 这 架构 底下 常见 
的 通讯 协议 、 封 


包 格 式 与 相关 标准 : 
图 2.1-4、OSI 与 TCP/IP 协议 之 相关 性 


从 上 图 中 ， 我 们 可 以 发 现 TCP/IP 将 应 用 、 表 现 、 会 谈 三 层 整 合成 一 个 
应 用 层 ， 在 


应 用 层 上 面 可 以 实 作 的 程序 协议 有 HTTP, SMTP, DNS 等 等 。 传送 层 则 
没有 变 ， 不 过 依 

据 传 送 的 可 靠 性 又 将 封包 格式 分 为 连接 导 同 的 ”TCP 及 非 连接 导 辐 的 
UDP 封包 格式 。 网 

络 层 也 没有 变 ， 主 要 内 容 是 提供 了 IP 封包 ， 并 可 选择 最 佳 路 由 来 到 达 
目标 IP 地 址 。 
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数据 链 结 层 与 物理 层 则 整合 成 为 一 个 链 结 层 ， 包 括 定 义 人 硬件 讯号 、 讯 
框 转 位 串 的 编码 


等 等 ， 因 此 主要 与 硬件 (不 论 是 区 网 还 是 广域网 ) 有 关 。 


那 TCP/P 是 如 何 运 作 的 呢 ? 我 们 束 拿 你 稼 各 连 上 的 Yahoo 入 口 网 站 来 
做 个 说 明 


好 了 ， 整 个 联机 的 状态 可 以 这 样 看 : 


1. 应 用 程序 阶段 你 打开 浏览 器 ， 在 浏览 器 上 面 输入 网 址 列 ， 按 下 
[Enter]。 


和 并 癌 下 传 给 TCP/IP 
应 


层 3 
2 由 应 用 层 提供 的 HTTP 通讯 协议 ， 将 来 目 浏 览 右 的 数据 报 起 








给 予 一 个 应 用 层 表 头 ， 再 奖 传 送 层 丢 去 ; 


传送 层 : 由 于 HTTP 为 可 靠 联 机 ， 因 此 将 该 数据 丢 入 TCP 封包 内 ， 
并 给 予 


一 个 TCP 封包 的 表 头 ， 回 网 络 层 丢 去 ; 
网 络 层 : 将 TCP 包 庄 包 进 IP 封包 内 ， 再 给 予 一 个 IP 表 头 (主要 就 是 


源 与 目标 的 IP 哎 )， 向 链 结 层 丢 去 ; 


5. 链 结 层 : 如 果 使 用 以 太 网 络 时 ， 此 时 IP 会 依据 CSMA/CD 的 标准 ， 
包 事 到 


MAC 讯 框 中 ， 并 给 予 MAC 表 头 ， 再 转 成 位 串 后 ， 利用 传输 媒体 传送 
到 远程 主机 


等 到 Yahoo 收 到 你 的 包 庄 后 ， 在 依据 相反 方向 拆 解 开 来 ， 然 后 交 给 对 应 
的 层级 进 


行 分 析 ， 最 后 就 让 Yahoo 的 WWW 服务 器 软件 得 到 你 所 想 要 的 数据 ， 
该 服务 器 软件 再 根 


据 你 的 要 求 ， 取 得 正确 的 资料 后 ， 又 依循 上 述 的 流程 ， 一 层 一 层 的 包装 
起 来 ， 最 后 传 


送 到 你 的 手 上 ! 就 是 这 样 嘿 ! 

根据 这 样 的 流程 ， 我 们 就 得 要 知道 每 个 分 层 所 需要 了 解 的 基础 知识 ， 这 
样 才 算 学 习 

网 络 基础 嘛 ! 所 以 底下 我 们 会 依据 TCP/IP 的 链 结 层 、 网 络 层 、 传 送 层 
来 进行 说 明 ， 应 

用 层 的 协议 则 在 后 续 章 节 中 有 对 应 的 协定 再 来 谈 嘿 ! 同时 我 们 也 知道 ， 
网 络 媒体 一 次 

传输 的 数据 量 是 有 限 的 ， 因 此 如 果 要 被 传输 的 数据 太 大 时 ， 我 们 在 分 层 
的 包装 中 ， 就 得 

要 将 数据 先 拆 开放 到 不 同 的 包 里 中 ， “再 给 包 囊 一 个 序号 ， 好 让 目的 端 
的 主机 能 够 藉 由 

这 些 序 号 再 重新 将 数据 整合 回来 ! 很 有 趣 吧 ! 接 下 来 就 让 我 们 一 层 一 层 
来 介绍 呢 ! 

















Tips: 

一 般 来 说 ， 因 为 应 用 程序 与 程序 设计 师 比 较 有 关系 ， 而 网 络 层 以 下 
的 数据 则 主要 是 操作 系统 提供 的 ， 因 此 ， 我们 又 将 TCP/IP 当中 的 
应 用 层 视 为 使 用 者 层 ， 而 底下 的 三 层 才 是 我 们 主要 谈 及 的 网 络 基 础 ! 
所 以 这 个 章节 主要 就 是 介绍 这 三 层 啦 ! 

2.2 TCP/IP 的 链 结 层 相关 协议 


TCP/IP ”最 底层 的 链 结 层 主要 与 硬件 比较 有 关系 ， 因 此 底下 我 们 主要 介 
绍 一 些 WAN 


与 LAN 的 硬件 。 同时 会 开始 介绍 那 重 要 的 CSMA/CD 的 以 太 网 络 协 
议 ， 以 及 相关 的 硬 


件 与 MAC 讯 框 格式 等 。 那 就 开始 来 聊 聊 吕 ! 
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名 
2.2.1 广域网 使 用 的 设备 


在 .2.1.3 瑟 我 们 有 提 到 过 ， 广 域 网 使 用 的 设备 价格 较为 低廉 。 不 过 三 域 
网 使 用 到 


的 设备 非常 的 多 ， 一 般 用 户 通 常会 接触 到 的 主要 是 ADSL 调制 解 调 器 或 
者 是 光纤 到 大 厦 ， 


以 及 第 四 台 的 Cable 宽带 等 。 在 这 里 我 们 多 介绍 一 些 比较 常见 的 设备 ， 
如 果 以 后 你 有 


机 会 接触 到 其 他 设备 ， 再 请 你 依据 需求 自行 查阅 相关 书籍 吧 ! 





传统 电话 拨 接 : 透 过 ppp 协议 


早期 网 络 大 概 都 只 能 透 过 调制 解 调 嚣 加 上 电话 线 以 及 计算 机 的 九 针 串 行 
端口 


(以 前 接 鼠 标 或 游戏 杆 的 插 孔 )， 然 后 透 过 Point-to-Point Protocol (PPP 协 
议 ) 


配合 拨 接 程序 来 取得 网 络 IP 参数 ， 这 样 就 能 够 上 网 了 。 不 过 这 样 的 速 
度 非常 慢 ， 


而 且 当 电话 拨 接 后 ， ”就 不 能 够 讲 电话 了 ! 因为 PPP 支持 ”TCP/IP,， 
NetBEUL 


IPX/SPX 等 通讯 协议 ， 所 以 使 用 度 非 常 广 ! 

整合 服务 数字 网 络 (Integrated Services Digital Network, ISDN) 
现 有 的 电话 线路 来 达成 网 络 联机 的 目的 ， 只 是 联机 的 两 端 都 需 
要 





en ISDN 的 传输 有 多 种 通道 可 供 使 
用 ;并且 


可 以 将 多 个 信道 整合 应 用 ， 因 此 速度 可 以 成 倍 成 长 。 基 本 的 B 信道 速度 
约 为 





es 但 如 美国 规格 使 用 23 个 以 上 的 通道 来 达成 联机 ， 此 时 速度 可 


1.5Mbps 左右 。 不 过 台湾 这 玩意 儿 比 较 少 见 。 

非 对 称 数位 用 路 回路 (Asymmetric Digital Subscriber Line, ADSL): 
过 pppoe 协议 
也 是 透 过 电话 线 来 拨 接 后 取得 IP 的 一 个 方法 ， 只 不 过 这 个 方式 使 用 的 
是 电话 的 








高 频 部 分 ， 与 一 般 讲 电话 的 频率 不 同 。 因此 隶 可 以 一 边 使 用 ADSL 上 
网 同时 透 


过 同一 个 电话 号 码 来 打 电话 聊天 。 在 台湾 ， 由 于 上 传 /下 载 的 带宽 不 
同 ， 因此 才 


称 为 非 对 称 的 回路 。ADSL 同样 使 用 调制 解 调 器 ， 只 是 他 透 过 的 是 
PPPoE (PPP 


over Ethernet) 的 方法 ! 将 PPP 仿真 在 以 太 网 络 卡 上 ， 因 此 你 的 主机 需 
BE 


女 地 


过 一 张 网 络 卡 来 连接 到 调制 解 调 器 ， 并 透 过 拨 接 程序 来 取得 新 的 接口 
(ppp0) 喔 ! 


电 统 调制 解 调 器 (Cable modem) 
主要 透 过 有 线 电视 (台湾 所 谓 的 第 四 台 ) 使 用 的 缆 线 作为 网 络 讯号 媒体 ， 








TH 
要 具备 调制 解 调 器 来 连接 到 ISP， 以 取得 网 络 参数 来 上 网 。 Cable 
modem 的 带 


宽 主 要 是 分 享 型 的 ， 所 以 通常 具有 区 域 性 ， 并 不 是 你 想 六 束 能 准 的 哩 ! 
2.2.2 局 域 网 络 使 用 的 设备 -以 太 网 络 
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在 局 域 网 络 的 环境 中 ， 我 们 最 种 使 用 的 融 是 以 太 网 络 。 当 然 啦 ， 在 东 些 
超 高 速 网 络 


应 用 的 环境 中 ， ”还 可 能 会 用 到 价格 相当 昂贵 的 光纤 信道 哩 。 只 是 如 质 





0 


前 面 提 到 的 ， 以 


太 网 络 因为 已 经 标准 化 了 ， 设 备 设置 费用 相对 低廉 ， ”所 以 一 般 你 会 听 
到 什么 网 络 线 或 


者 是 网 络 媒体 ， 几 乎 都 是 使 用 以 太 网 络 来 架设 的 环境 啦 ! ”只 是 这 里 还 


是 要 提醒 您 ， 整 


个 网 络 世 界 并 非 仅 有 以 太 网 络 这 个 硬件 接口 喔 ! 事实 上 ， 想 了 解 整个 
以 太 网 络 的 发 展 ， 


建议 你 可 以 直接 参考 风 信 子 与 张 民 人 先生 翻译 的 『Switched & Fast 以 太 
网 络 」 一 书 ， 


该 书 内 容 相 当 的 有 趣 ， 挺 适合 阅读 的 响 。 ”底下 我 们 仪 做 个 简单 的 介绍 
而 已 。 








以 太 网 络 的 速度 与 标准 


以 太 网 络 的 流行 主要 是 它 成 为 国际 公认 的 标准 所 致 。 早 先 IEEE 所 制订 
的 以 太 网 络 


标准 为 802.3 的 IEEE 10BASE5 ， 这 个 标准 主要 的 定义 是 : 『10 代表 传 
输 速度 为 


10Mbps，BASE 表示 采用 基 频 信号 来 进行 传输 ， 人 至 于 5 则 是 指 每 个 网 络 
节点 之 间 最 长 可 


达 500 公 尺 。] 


2 恩 束 是 0 与 1 啊 ， 因 此 ， 数 据 传输 的 单位 为 每 秒 多 少 
bit ， 处 











即 是 M bits/second, Mbps 的 意思 。 那 么 为 何 制 订 成 为 10Mbps 呢 ? 这 是 
因为 早期 的 


网 络 线 压 制 的 方法 以 及 相关 的 制作 方法 ， 还 有 以 太 网 络 卡 制作 的 技术 并 


不 是 很 好 ， 加 


上 当时 的 数据 传输 需求 并 没有 像 现在 这 么 高 ， 所 以 10Mbps 已 经 可 以 符 
合 大 多 数 人 的 需 


水 下 

Tips: 

我 们 看 到 的 网 络 提供 者 (Internet Services Provider, ISP) 所 宣 
称 他 们 的 ADSL 传输 速度 可 以 达到 下 行 /上 行 2Mbps/128Kbps 
(Kbits per second) 时 ， 那 个 Kb 指 的 可 不 是 bytes 而 是 bits 

喔 ! 所 以 2M/128K 在 实际 的 档案 大 小 传输 速度 上 面 ， 最 大 理论 的 传 
输 为 256KBps/16 KBps(KBytes per second)， 所 以 正常 下 载 的 速度 
约 在 每 秒 100~200 KBytes 之 间 响 ! 同样 的 道理 ， 在 网 络 卡 或 者 是 
一 些 网 络 媒体 的 广告 上 面 ， 他 们 都 会 宣称 自己 的 产品 可 以 自动 辨识 
传输 速度 为 10/100 Mbps ( Mega-bits per second)， 了 呵呵 ! 该 数 
值 还 是 得 再 除 以 8 才 是 我 们 一 般 常 用 的 档案 容量 计算 的 单位 

bytes 喔 ! 


早期 的 网 络 线 使 用 的 是 旧式 的 同 轴 电 线 线 ， 这 种 线路 在 现在 几乎 已 经 看 
不 到 了 。 取 而 代 


之 的 是 类 似 传 统 电 话 线 的 双 绞 线 (Twisted Pair Ethernet) ，IEEE 并 将 这 
种 线路 的 以 


太 网 络 传输 方法 制订 成 为 10BASE-T 的 标准 。 10BASE-T 使 用 的 是 10 
Mbps 全 速 运 作 


且 采 用 无 遮蔽 式 双 绞 线 (UTP) 的 网 络 线 。 此 外 ， 10BASE-T 的 UTP 网 














络 线 可 以 使 用 星 


形 联机 (star)， 
2 211 


就 是 星 形 联机 的 一 个 示意 图 。 


不 同 于 早期 以 一 条 同 轴 电 统 线 链接 所 有 的 计算 机 的 bus 联机 ， 透 过 星 形 
联机 的 帮 


助 ， 我 们 可 以 很 简单 的 加 装 其 他 的 设备 或 者 是 移 除 其 他 设备 ， 而 不 会 
受到 其 他 装置 的 
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影响 ， 这 对 网 络 设备 的 扩充 性 与 除 错 来 说 ， 都 是 一 项 相当 棒 的 设计 ! 
也 因此 10BASE-T 


让 以 太 网 络 设备 的 销售 额 大 幅 提升 啊 ! 


后 来 IEEE 更 制订 了 802.3u 这 个 文 持 到 100Mbps 传输 速度 的 100BASE- 
工 标准 ， 


这 个 标准 与 10BASE-T 差异 不 大 ， 只 是 双 绞 线 线材 制作 需要 更 精良 ， 
同时 也 已 经 支持 


使 用 了 四 对 绞 线 的 网 络 线 了 ， ”也 束 是 目前 很 常见 的 八 玲 网络 线 响 ! 这 
种 网 络 线 我 们 策 








称 为 等 级 五 (Category 5, CAT5) 的 网 络 线 。 这 种 传输 速度 的 以 太 网 络 就 
被 称 为 Fast 


ethermet 。 公 于 目前 我 们 常常 听 到 的 Gigabit 网 络 速度 1000 Mbps 又 是 什 
么 响 ? 那 


就 是 Gigabit ethernet 哩 ! 只 是 Gigabit ethernet 的 网 络 线 就 需要 更 加 的 精 


名 称 

速度 

网 络 线 等 级 

以 太 网 络 (Ethernet) 

10Mbps 

高 速 以 太 网 络 (Fast Ethernet) 
100Mbps 

CATS5 

超 高 速 以 太 网 络 (Gigabit Ethernet) 
1000Mbps 

CAT 5e/CAT 6 


为 什么 每 当 传 输 速 度 增 加 时 ， 网 络 线 的 要 求 就 更 严格 呢 ? 这 是 因为 当 传 
输 速 度 增加 时 ， 


线材 的 电磁 效应 相互 干扰 会 增强 ， “因此 在 网 络 线 的 制作 时 就 得 需要 特 
别 注意 线材 的 质 


料 以 及 内 部 线 蕊 心 之 间 的 缠绕 情况 配置 等 ， ”以 使 电子 流 之 间 的 电磁 干 
扰 降 到 最 小 ， 才 


能 使 传输 速度 提升 到 应 有 的 Gigabit 。 所 以 说 ， 在 以 太 网 络 世界 当中 ， 
如 果 你 想 要 提 


升 原 有 的 fast ethernet 到 gigabit ethernet 的 话 ， 除了 网 络 卡 需要 升级 之 
gh 二 


机 与 主机 之 间 的 网 络 线 ，“” 以 及 连接 主机 线路 的 集 线 融 /交换 器 等 ， 郑 必 
须要 提升 到 可 以 


文 持 gigabit 速度 等 级 的 设备 才 行 喔 ! 


以 太 网 络 的 网 络 线 接头 ( 跳 线 /并 行 线 ) 
前 面 提 到 ， 网 络 的 速度 与 线材 是 有 一 定 程度 的 相关 性 的 ， 那 么 线材 的 接 
头 又 是 怎样 


呢 ? 目前 在 以 太 网 络 上 最 凋 见 到 的 接头 就 是 RJ-45 的 网 络 接头 ， 共 有 八 
八 的 接头 ， 有 


DN 
wD 


点 像 是 胖 了 的 电话 线 接 头 ， 如 下 所 示 : 


图 2.2-1、RJ-45 接头 示意 图 
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而 RJ-45 接头 又 因为 每 条 营 线 的 对 应 不 同 而 分 为 568A 与 568B 接头 ， 
这 两 款 接 


头 内 的 念 线 对 应 如 下 表 : 
接头 名 称 \ 伍 线 顺序 


7 
8 

568A 

白 绿 绿 白 橙 赣 白 蓝 杰 白 棕 标 
568B 

白 橙 栖 白 绿 赣 白 蓝 绿 白 棕 标 


事实 上 ， 虽 然 目 前 的 以 太 网 络 线 有 八 营 且 两 两 成 对 ， 但 实际 使 用 的 只 有 
1,2,3,6 莹 而 


己 ， ”其 他 的 则 是 茶 些 特殊 用 途 的 场合 才 会 使 用 到 。 但 由 于 主机 与 主机 
的 联机 以 及 主机 


与 集线器 的 联机 时 ， ”所 使 用 的 网 络 线 脚 位 定义 并 不 相同 ， 因 此 由 于 接 
头 的 不 同 网 络 线 


又 可 分 为 两 种 : 


跳 线 : 一 边 为 568A 一 边 为 568B 的 接头 时 称 为 跳 线 ， 用 在 直接 链接 
两 部 主 


机 的 网 络 卡 。 





并 行 线 : 两 边 接 头 同 为 568A 或 同 为 568B 时 称 为 并 行 线 ， 用 在 链接 
主机 网 


络 卡 与 集线器 之 间 的 线材 ; 
2.2.3 以 太 网 络 的 传输 协议 : CSMA/CD 


整个 以 太 网 络 的 重心 就 是 以 太 网 络 卡 啦 ! 所 以 说 ， 以 太 网 络 的 传输 主要 
就 是 网 络 卡 


对 网 络 卡 之 间 的 数据 传递 而 已 。 每 张 以 太 网 络 卡 出 三 时 ， 就 会 赋予 一 
eS 


号 ， 那 就 是 所 谓 的 MAC (Media Access Control) 啦 ! 理论 上 ， 网 卡 卡号 
是 不 能 修改 


的 ， 不 过 茶 些 笔记 本 电脑 的 网 卡 卡 号 是 能 够 修改 的 哟 ! ”那么 以 太 网 络 
的 网 卡 之 间 数 据 


是 如 何 传输 的 呢 ? 那 就 得 要 谈 一 下 IEEE 802.3 的 标准 CSMA/CD 
(Carrier Sense 


Multiple Access with Collision Detection) 了 ! 我 们 以 下 图 来 作为 简介 ， 下 
图 内 的 


中 心 点 为 集线器 ， ”各 个 主机 都 是 联机 到 集线器 ， 然 后 透 过 集 线 磺 的 功 
能 癌 所 有 主机 发 


起 联机 的 。 
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图 2.2-2、CSMA/CD 联机 示意 图 ， 由 A 发 送 资料 给 D 时 ， 注 意 箭头 方 
问 


集线器 是 一 种 网 络 共享 媒体 ， 什 么 是 网 络 共 胖 媒体 啊 ? 想象 一 下 上 述 的 
环境 珊 像 一 


个 十 字 路 口 ， 而 集线器 就 是 那个 路 口 ! ”这 个 路 口 一 次 只 允许 一 辆 车 通 
过 ， 如 果 两 辆 车 


ny 


吾 媒 体 。 也 
是 说 ， 网 络 共 译 媒体 在 蛙 一 时 间 点 内 ， 仪 能 被 一 部 主机 所 使 用 。 


理解 了 共 至 媒体 的 意义 后 ， 下 来， 我 们 束 得 要 讨论 ， 那 么 以 太 网 络 的 网 
卡 之 间 是 如 


何 传输 的 呢 ? 我 们 以 上 图 中 的 A 要 发 给 D 网 卡 为 例 好 了 ， 人 简单 的 说 ， 
CSMA/CD 搭配 


上 述 的 环境 ， 它 的 传输 情况 需要 有 以 下 的 流程 : 
1. 监听 媒体 使 用 情况 (Carrier Sense): A 主机 要 发 送 网 络 封 包 前 ， 需 要 
先 对 


网 络 媒 体 进行 监听 ， 确 认 没 有 人 在 使 用 后 ， 才能 够 发 送出 讯 框 ; 
2. 多 点 传输 (Multiple Access): A 主机 所 送出 的 数据 会 被 集线器 复制 一 


份 ， 


人 也 就 是 说 ， A 所 送出 的 数 
师 ， B, C， 





D 三 部 计算 机 都 能 够 接收 的 到 ! 但 由 于 目标 是 D 主机 ， 因 此 也 与 C 会 
将 此 讯 


框 数据 丢弃 ， 而 D 则 会 抓 下 来 处 理 ; 


3. 父 撞 侦 测 (Collision Detection): 该 讯 框 数据 附 有 检测 能 力 ， 若 其 他 主 
机 





计算 机 也 刚好 在 同时 间 发 送 讯 框 数据 时 ， 那么 A 与 B 送出 的 数 
位 撞 


在 一 块 (出 车 祝 ) ， 此 时 这 些 讯 框 就 是 损毁 ， 那 么 A 与 B 就 会 各 自 随机 
等 待 一 


个 时 间 ， 然后 重新 透 过 第 一 步 再 传送 一 次 该 讯 框 数据 。 
了 解 这 个 程序 很 重要 吗 ? 我 们 就 来 谈 谈 : 
网 络 忙碌 时 ， 集 线 器 灯 号 内 个 不 停 ， 但 我 的 主机 明明 没有 使 用 网 络 : 


透 过 上 述 的 流程 我 们 会 知道 ， 不 管 哪 一 部 主机 发 送出 讯 框 ， 所 有 的 计算 
机 都 会 接 


收 到 ! ee 因此 ， 虽 然 只 有 
一 部 主机 


在 对 外 联机 ， 但 是 在 集线器 上 面 的 所 有 计算 机 灯 号 就 都 会 内 个 不 售 ! 
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我 的 计算 机 明明 没有 被 入 侵 ， 为 何 我 的 数据 会 被 隔壁 的 计算 机 和 守 取 : 


我 们 只 要 在 B 计算 机 上 面 安 装 一 套 监听 软件 ， 这 套 软 
必 岂 


本 要 丢弃 的 讯 框 数据 捉 下 来 分 析 ， 并 且 加 以 重组 ， 残 能 够 知道 原本 A 
所 送出 的 








讯 电 了 。 这 也 是 为 什么 我 们 都 建议 重要 数据 在 因特网 上 面 得 要 『 加 密 ] 
后 再 传输 ! 


既然 共享 媒体 只 有 一 个 主机 可 以 使 用 ， 为 何 大 家 可 以 同时 上 网 : 


ee 既然 共享 媒体 一 次 只 能 被 一 个 主机 所 使 用 ， 那 么 万 


的 档案 ， 集 线 器 就 得 被 我 使 用 80 秒 (以 10Mbps 传输 时 )， 在 这 
期 间 其 


他 人 都 不 可 以 使 用 吗 ? 不 是 的 ， 由 于 标准 的 讯 框 数据 在 网 络 卡 与 其 他 以 
太 网 络 媒 


Pam 1500bytes， 因 此 我 的 100MB 档案 就 得 要 拆 成 多 个 小 数 
是 报 


人 每 个 数据 报 传送 前 都 要 经 过 CSMA/CD 的 机 制 。 
[ 


ee 的 ! 即使 只 有 一 部 主机 在 使 用 网 络 媒体 
的 ， 那么 


这 部 主机 在 发 送 每 个 封包 间 ， ”也 都 是 需要 等 竺 一 段 时 间 的 (96 bit 


time) ! 


讯 框 要 多 大 比较 好 ? 能 不 能 修改 讯 框 ? : 











如 上 所 述 ， 那 么 讯 框 的 大 小 能 不 能 改变 呢 ? 因 为 如 果 讯 框 的 容量 能 够 增 
大 ， 那 么 


小 数据 报 的 数量 束 会 减少 ， ” 那 每 个 讯 框 传送 间 的 等 竺 就 可 以 减少 了 ! 
征 这 样 没 


错 ， 但 是 以 太 网 络 标准 讯 框 确实 定义 在 1500 bytes， 但 近来 的 超 高 速 以 
太 网 络 


媒体 有 文 持 Jumbo frame (巨型 讯 框 . 注 10) 的 话 ， 那 么 就 能 够 将 讯 框 大 小 
改 为 





9000bytes 哩 ! 但 不 是 很 建议 大 家 随便 修改 啦 ! 为 什么 呢 ? 2.2.5 MTU 
小 节 

说 。 

2.2.4 MAC 的 封装 格式 


上 面 提 到 的 CSMA/CD 传送 出 去 的 讯 框 数据 ， 其 实 就 是 MAC 啦 ! MAC 
其 实 就 是 我 们 


上 面 一 直 讲 到 的 讯 框 (frame) 哆 ! 只 是 这 个 讯 框 上 面 有 两 个 很 重要 的 数 
据 ， 就 是 目标 


与 来 源 的 网 卡 卡号 ， 因 此 我 们 又 简称 网 卡 卡号 为 MAC 而 已 。 简单 的 
说 ， 你 可 以 把 MAC 


想 成 是 一 个 在 网 络 线 上 面 传递 的 包 玩 ， 而 这 个 包 硅 是 整个 网 络 硬 件 上 面 
传送 数据 的 最 小 


单位 了 。 ”也 就 是 说 ， 网 络 线 可 想 成 是 一 条 『 一 次 仅 可 通过 一 个 人 」 的 
独木桥 ， 而 MAC 


I 接 下 来 ， 来 看 一 看 MAC 这 个 讯 框 的 
容 吧 ! 


图 2.2-3、 以 太 网 络 的 MAC 讯 框 








上 图 中 的 目的 地 址 与 来 源 地 址 指 的 束 是 网 卡 卡 号 (hardware address, 硬件 
地 址 )， 


我 们 前 面 提 到 ， - 张 网 卡 都 有 一 个 独一无二 的 卡号 ， ”那个 卡号 的 目 
的 就 在 这 个 讯 杠 


的 表 头 数据 使 用 到 啦 ! 硬件 地 址 最 小 由 00:00:00:00:00:00 至 
FF:FF:FF:FF:FF:FF 





| 
(16 进位 法 )， 这 6 bytes 当中 ， 前 3bytes 为 厂商 的 代码 ， 后 3bytes 则 是 
该 厂商 

自行 设 定 的 装置 码 了 。 
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MAC-] MAC-2 MAC-3 MAC-4 


在 Linux 当中 ， 你 可 以 使 用 ifconfig 这 个 指令 来 查阅 你 的 网 络 卡 卡号 
喔 ! 特别 


注意 ， 在 这 个 MAC 的 传送 中 ， 他 仅 在 局 域 网 络 内 生效 ， 如 宋 跨 过 不 同 
的 网 域 (这 个 后 


面 卫 的 部 分 时 会 介绍 )， 那 么 来 源 与 目的 的 硬件 地 址 就 会 跟着 改变 了 。 


不 同 网 络 卡 之 间 的 交流 了 嘛 ! 所 以 卡号 当然 不 同 了 ! 如 下 所 示 : 

图 2.2-4、 同 一 讯 框 在 不 同 网 域 的 主机 间 传 送 时 ， 讯 框 的 表 头 变化 
例如 上 面 的 图 标 ， 我 的 数据 要 由 计算 机 A 通过 B 后 才 送 达 C， 而 也 计 
算 机 有 两 





块 网 络 卡 ， 其 中 MAC-2 与 A 计算 机 的 MAC-1 互通 ， 至 于 MAC-3 则 与 
C 计算 机 的 


MAC-4 互通 。 但 是 MAC-1 不 能 与 MAC-3 与 MAC-4 互通 ， 为 啥 ? 因为 
MAC-1 这 块 网 络 


卡 并 没有 与 MAC-3 及 MAC-4 使 用 同样 的 switch/hub 相 接 啤 ! 所 以 ， 数 
据 的 流通 会 变 


成 : 

1. 先 由 MAC-1 传送 到 MAC-2 ， 此 时 来 源 是 MAC-1 而 目的 地 是 MAC- 
2; 

2. B 计算 机 接收 后 ， 察 看 该 讯 框 ， 发 现 目标 其 实 是 C 计算 机 ， 而 为 了 与 
GU 


算 机 沟通 ， 所 以 他 会 将 讯 框 内 的 来 源 MAC 改 为 MAC-3 ， 而 目的 改 为 
MAC-4 ， 


如 此 就 可 以 直接 传送 到 C 计算 机 了 。 
也 就 是 说 ， 只 要 透 过 B (就 是 路 由 器 ) 才 将 封包 送 到 另 一 个 网 域 (IP 部 分 


会 讲 ) 


去 的 时 候 ， ”那么 讯 框 内 的 硬件 地 址 就 会 被 改变 ， 然 后 才能 够 在 同一 个 
网 域 里 面 直接 进 


行 讯 框 的 流通 啊 ! 


Tips: 





由 于 网 络 卡 卡 写 是 跟着 网 络 卡 走 的 ， 并 不 会 因为 重治 操作 系统 而 改 
弯 ， 所 以 防火 墙 软件 大 多 也 能 够 针对 网 络 卡 来 进行 抵挡 的 工作 喔 ! 
不 过 抵挡 网 卡 仅 能 在 局 域 网 络 内 进行 而 已 ， 因 为 MAC 不 能 跨 


router 嘛 ! ! 








为 什么 资料 量 最 小 要 46 最 大 为 1500 bytes 呢 ? 


讯 框 内 的 数据 内 容 最 大 可 达 1500bytes 这 我 们 现在 知道 了 ， 那 为 何 要 规 
范 最 小 


数据 为 46bytes 呢 ? 这 是 由 于 CSMA/CD 机 制 所 算出 来 的 ! 在 这 个 机 制 
上 面 可 











i 则 讯 框 总 数据 量 最 小 得 要 有 64bytes ， 那 再 扣除 目 
J 地址 、 











来 源 地 址 、 检 查 码 (前 导 码 不 算 ) 后 ， 就 可 得 到 数据 量 最 小 得 要 有 
46bytes 了 ! 


如 果 你 要 传输 的 数据 小 于 46byes ， 那 我 们 的 系统 会 主动 的 
1 


填充 码 ， 以 补 齐 至 少 46bytes 的 容量 才 行 ! 
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2.2.5 MTU 最 大 传输 单位 


通过 上 面 MAC 封装 的 定义 ， 现 在 我 们 知道 标准 以 太 网 络 讯 框 押 能 传送 


的 数据 量 最 
大 可 以 到 达 1500 bytes ， 这 个 数值 就 被 我 们 称 为 MTU (Maximum 


Transmission Unit, 


最 大 传输 单位 )。 你 得 要 注意 的 是 ， 每 种 网 络 接口 的 MTU 都 不 相同 ， 
因此 有 的 时 候 在 


某 些 网 络 文章 上 面 你 会 看 到 1492 bytes 的 MTU 等 等 。 不 过 ， 在 以 太 网 
络 上 ， 标 准 的 


定义 就 是 1500 bytes。 


在 待 会 儿 会 介绍 到 的 IP 封包 中 ， 这 个 IP 封包 最 大 可 以 到 65535 bytes， 
比 MTU 


还 要 大 呢 ! 既然 礼物 (IP) 都 比 盒 子 (MAC) 大 ， 那 怎么 可 能 放 的 进去 
啊 ? 所 以 哆 ，IP 


封包 是 可 以 进行 拆 解 的 ， 然 后 才能 放 到 MAC 当中 啊 ! 等 到 数据 都 传 到 
目的 地 ， 再 由 目 


的 地 的 主机 将 他 组 装 回 来 就 是 了 。 所 以 哆 ， 如 果 MTU 能够 大 一 些 的 
话 ， 那 么 IP 封包 


的 拆 解 情况 就 会 降低 ， 封包 与 封包 传送 之 间 的 等 竺 时间 (前 一 小 节 提 到 
的 96 bit time) 


也 会 减少 ， 就 能 够 增加 网 络 带宽 的 使 用 哆 ! 


为 了 这 个 目的 ， 所 以 Gigabit 的 以 太 网 络 媒体 才 有 文 持 Jumbo frame 的 
呆 ! 这 个 


Jumbo frame 一 般 都 定义 到 9000bytes。 那 你 会 说 ， 既 然 如 此 ， 我 们 的 
MTU 能 不 能 改 


成 9000bytes 呢 ? 这 样 一 来 不 束 能 够 减少 数据 封包 的 拆 解 ， 以 增加 网 络 
使 用 率 吗 ? 是 








这 样 没 错 ， 而 且 ， 你 也 确实 可 以 在 Linux 系统 上 更 改 MTU 的 ! 但 是 ， 
如 果 考 虑 到 整个 


网 络 ， 那 么 我 们 不 建议 你 修改 这 个 数值 。 为 什么 呢 ? 
ee Internet 上 面 跑 吧 ? 你 无 法 确认 所 有 的 网 络 媒体 
是 





持 那么 大 的 MTU 对 吧 ! 如果 你 的 9000 bytes 封包 通过 一 个 不 支持 


Jumbo frame 的 


网 络 媒体 时 ， 好 一 点 的 是 该 网 络 媒体 (例如 switch/router 等 ) 会 主动 的 帮 
你 重组 而 


进行 传送 ， 差 一 点 的 可 能 就 直接 回报 这 个 封包 无 效 而 丢弃 了 一 这 个 时 候 
可 就 粮 大 哆 和 ~ 


所 以 ， MTU 设 定 为 9000 这 种 事情 ， 大 概 仅 能 在 内 部 网 络 的 环境 中 作 
一 举例 来 说 ， 很 


多 的 内 部 从 集 系 统 ” (cluster) 就 将 他 们 的 内 部 网 络 环境 MTU 设 定 为 
9000， 但 是 对 外 


的 适 配 卡 可 还 是 原本 的 标准 1500 喔 ! 人 人 
也 就 是 说 ， 不 论 你 的 网 络 媒体 支持 MTU 到 多 大 ， 你 必须 要 考虑 到 你 的 


封包 需要 传 


到 目的 地 时 ， 所 需要 经 过 的 所 有 网 络 媒体 ， 然 后 再 来 决定 你 的 MTU 设 
定 才 行 。 就 因为 


这 样 ， 我 们 才 不 建议 你 修改 标准 以 太 网 络 的 MTU 嘛 ! 








Tips: 
早期 某 些 网 络 媒体 (例如 卫 分享 器 ) 支持 的 是 802.2, 802.3 标 
准 所 组 合成 的 MAC 封装 ， 它 的 MTU 就 是 1492 ， 而 且 这 些 设备 可 





能 不 会 进行 封包 重组 ， 因 此 早期 网 络 上 面 常 第 有 朋友 问 说 ， 他 们 连 
上 菏 些 网 站 时 ， 总 是 会 联机 傅 时 而 断 线 。 但 透 过 修改 客户 端的 MTU 
成 为 1492 之 后 ， 上 网 就 没有 问题 了 。 原 因 是 什么 呢 ? 读 完 上 头 的 

数据 ， 您 应 该 能 理解 了 吧 ? 人 人 
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2.2.6 集线器 、 交 换 器 与 相关 机 制 
共 不 共享 很 重要 ， 集 线 器 还 是 交换 器 ? ( 注 11) 
刚刚 我 们 上 面 提 到 了 ， 当 一 个 很 忙碌 的 网 络 在 运作 时 ， 集 线 器 hub) 这 


个 网 络 


共享 媒体 束 可 能 会 发 生 页 撞 的 情况 ， 这 是 因为 CSMA/CD 的 缘故 。 那 
有 没有 办 法 


避免 这 种 莫名其妙 的 封包 碰 揪 情况 呢 ? 有 的 ， 那 束 使 用 非 共 圣 媒体 的 交 


换 器 即 可 

啊 ! 

交换 器 (switch) 等 级 非常 多 ， 我 们 这 里 仪 探讨 支持 OSI 第 二 层 的 交换 
器 。 2 





换 需 与 集线器 最 大 的 差异 ， 在 于 交换 器 内 有 一 个 特别 的 内 存 ， ”这 个 内 
存 可 以 记 


录 每 个 Switch port 与 其 连接 的 PC 的 MAC 地 址 ， 所 以 ， 当 来 自 switch 
两 端 


， 每 个 讯 框 将 直接 透 过 交换 器 的 内 存 数 据 而 传送 到 
目标 主机 


上 ! 所 以 switch 不 是 共享 媒体 ， 且 switch 的 每 个 塌 口 (porb 都 具有 独 


的 带宽 喔 ! 


举例 来 说 ，10/100 的 Hub 上 链接 5 部 主机 ， 那 么 整个 10/100Mbps 是 分 
给 这 


五 部 主机 的 ， 所 以 这 五 部 主机 总 共 只 能 使 用 10/100Mbps 而 已 。 那 如 果 


XE 


switch 呢 ? 由 于 『 每 个 port 都 具有 10/100Mbps 的 带宽 」， 所 以 就 看 你 
当时 


的 传输 行为 是 如 何 吵 ! 举例 来 说 ， 如 果 是 确 下 的 状况 时 ， 每 个 联机 都 是 
10/100 


Mbps 的 。 
图 2.2-5、 交 换 峰 每 个 埋 口 的 带宽 使 用 示意 图 


A ks D 与 B 传送 到 C 都 独自 拥有 10/100Mbps 的 带宽 ， 两 边 并 不 会 
互相 


影响 ! 不过， 如 果 是 A 与 D 都 传 给 C 时 ， 由 于 C port 就 仅 有 
10/100Mbps ， 
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等 于 A 与 D 都 需要 抢 C 节点 的 10/100Mbps 来 用 的 意思 。 总 之 ， 你 就 
是 得 要 


记得 的 是 ，switch 已 经 克服 了 封包 碰撞 的 问题 ， 因 为 他 有 个 switch port 
对 应 


MAC 的 相关 功能 ， 所 以 switch 并 非 共 至 媒体 喔 ! 同时 需要 记得 的 是 ， 
现在 的 


switch 规格 很 多 ， 在 选 购 的 时 候 ， 千 万 记得 选 购 可 以 文 持 全 双 工 / 半 双 
下 3 以 

















及 支持 Jumbo frame 的 为 佳 ! 





什么 是 全 双 工 / 半 双 工 (full-duplex, half-duplex) 


前 面谈 到 网 络 线 时 ， 我 们 知道 八 玲 的 网 络 线 实际 上 仅 有 两 对 被 使 用 ， 一 
对 是 用 在 


传送 ， 忆 一 对 则 是 在 接收 。 如 果 两 端的 PC 同时 文 持 全 双 工 时 ， 那 表示 


Input/Output 均 可 达到 10/100Mbps， 亦 即 数据 的 传送 与 接收 同时 均 可 达 
到 


10/100bps 的 意思 ， 总 带宽 则 可 达到 20/200Mbps 嘿 (其 实 是 有 点 语 病 
的 ， 因 为 


Input 可 达 10/100Mbps， output 可 达 10/100Mbps ， 而 不 是 Input 可 直接 


达到 20/200Mbps 喔 ! ) 如 果 你 的 网 络 环境 想 要 达到 全 双 工 时 ， 使 用 共享 
媒体 的 


Hub i 因为 网 络 线 脚 位 的 关系 ， 无 法 使 用 共 孚 媒体 来 达到 全 
双 工 的 ! 


人 switch 也 支持 全 双 工 模式 ， 那 么 在 switch 两 端的 PC 才能 达到 
双 





工 喔 ! 
自动 协调 速度 机 制 (auto-negotiation): 


0 亦 即 是 Gigabit 网 络 
可 L 


与 早期 的 10/100Mbps 网 络 卡 链接 而 不 会 发 生 问 题 。 但 是 ， 此 时 的 网 络 
样 判定 呢 ? 早期 的 switch/hub ”必须 要 手动 切换 速度 才 行 ， 新 的 
hub/switch 


因为 有 支持 auto-negotiation 又 称 为 N-Way 的 功能 ， 他 可 自动 的 协调 出 


最 局 





的 传输 速度 来 沟通 喔 ! 如 果 有 Gigabit 与 10/100Mbps 在 switch 上 面 ， 
则 


人 
的 话 ， 


就 降 速 到 下 一 个 等 级 亦 即 100 Mbps 的 速度 来 运作 的 ! 
自动 分 辨 网 络 线 跳 线 或 并 行 线 (Auto MDLIMDIX): 


那么 我 们 是 否 需 要 上 自行 分 辨 并 行 线 与 跳 线 呢 ? 不 需要 啦 ! 因为 switch 知 
含有 
| | 


auto MDIMDIX 的 功能 时 ， 会 自动 分 辨 网 络 线 的 脚 位 来 调整 联机 的 ， 
所 以 你 就 


不 需要 管 你 的 网 络 线 是 跳 线 还 是 并 行 线 嘿 ! 方便 吧 ! 入 和 
讯号 衰减 造成 的 问题 


站 
严重 时 ， 


pe 
| 的 嘱 ! 


不 过 ， 一 般 来 说 ， 现 今 的 以 太 网 络 CAT5 等 级 的 网 络 线 大 概 都 可 以 支持 
到 100 公 


尺 的 长 度 ， 所 以 应 该 无 庸 担心 才 是 响 ! 


但 是 ， 造 成 讯号 衰减 的 情况 并 非 仅 有 网 络 线 长 度 而 已 ! 如 果 你 的 网 络 线 
折 得 太 严 


i ， 或 者 是 目 行 压制 网 络 线 接 
类， 日 是 























接头 部 分 的 八 玲 蕊 线 缠 绕 度 不 足 导致 电磁 干扰 严重 ， ”或 者 是 网 络 线 放 
在 户外 风 


吹 日 柄 导致 脆 化 的 情况 等 等 ， 都 会 导致 电子 讯号 传递 的 不 展 而 造成 联机 


- 国 . TZ “ 放 
质量 恶劣 ， 
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企业 内 的 信 妹 


潍 房 机 芥 内 的 


配 神 柱 


此 时 第 第 就 会 发 现 偶而 可 以 联机 、 有 时 却 又 无 法 联机 的 问题 了 ! 因此 ， 


当 你 需要 


针对 企业 内 部 来 架设 整体 的 网 络 时 ， 注意 结构 化 布线 可 是 很 重要 的 
喔 ! 


结构 化 布线 


所 谓 的 结构 化 布线 指 的 是 将 各 个 网 络 的 组 件 分 别 拆 开 ， 分 别 安 装 与 布置 
到 企业 内 


部 ，“ 则 未 来 想 要 提升 网 络 便 件 等 级 或 者 是 移动 东 些 网 络 设 备 时 ， 只 需 


要 更 动 类 


以 及 末端 的 墙 上 预 留 孔 与 主机 设备 的 联机 束 能 够 
达到 目 世 


了 。 例 如 底下 的 图 示 : 
图 2.2-6、 结 构 化 布线 简易 图 标 











ee 
吗 ! 那 你 


需要 注意 的 仪 有 末端 墙 上 的 预 留 孔 以 及 配 线 端 部 分 。 事实 上 ， 光 是 结 
构 化 布线 


所 需要 选择 的 网 络 媒 体 与 网 络 线 的 等 级 ， 还 有 机 柜 、 机 架 ， 以 及 美化 与 
隐藏 网 络 


以 及 实际 施工 所 需要 注意 的 事项 ， 还 有 所 有 硬 
、 施 工 


所 需要 注意 的 标准 规范 等 等 ， “已 经 可 以 写 满 厚 厚 一 本 书 ， 而 乌 哥 这 里 
的 文革 由 


0 所 以 仅 提 到 最 简单 的 
以 一 个 或 


两 个 交换 器 (swtich) 串 接 所 有 网 络 设备 的 小 型 星 形 联机 状态 而 已 。 


如 果 你 有 需要 相关 人 硬件 结构 化 布线 的 信息 ， 可 以 参考 风 信 子 兄 翻译 的 
[ Swtich 


and Fast 以 太 网 络 」 一 书 的 后 半 段 ! 至 于 网 络 上 的 高 手 吗 ? 你 可 以 前 往 


和 学 园 





























请 教 ZMAN (http://http://wordpress.morezman.cony) 大 哥 喔 ! 
2.3 TCP/IP 的 网 络 层 相 关 封 包 与 数据 


我 们 现在 知道 要 有 网 络 的话 ， 必 须要 有 网 络 相 关 的 人 硬件， 而 目前 最 常见 
的 网 络 硬件 


接口 为 以 太 网 络 ， 包 括 网 络 线 、 网 络 卡 、Hub/Switch 等 等 。 而 以 太 网 络 
上 面 的 传输 使 


用 网 络 卡 卡号 为 基准 的 MAC 讯 框 ， 配 合 CSMA/CD 的 标准 来 传送 讯 
框 ， 这 就 是 硬件 部 分 。 





在 软件 部 分 ， 我 们 知道 Internet 其 实 就 是 TCP/IP 这 个 通讯 协议 的 通称 ， 


Internet 是 
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由 InterNIC( 注 12) 所 统一 管理 的 ， 但 其 实 他 仪 是 负责 分 配 Internet 上 面 
的 IP 以 


及 提供 相关 的 TCP/IP 技术 文件 而 已 。 不 过 Internet 最 重要 的 就 是 IP 
啊 ! 所 以 ， 这 


个 小 革 就 让 我 们 来 讲 讲 网 络 层 的 IP 与 路 由 吧 ! 
2.3.1 IP 封包 的 封装 
目前 因特网 社会 的 ”IP ”有 两 种 版 本 ， 一 种 是 目前 使 用 最 广泛 的 ”IPv4 


(Internet 


Protocol version 4， 因 特 网 协定 第 四 版 )， 一 种 则 是 预期 未 来 会 热门 的 
IPv6 。IPv4 


记录 的 地 址 由 于 仅 有 32 位 ， 预 计 在 2020 年 前 后 就 会 分 发 完毕 ， 如 此 一 
来 ， 新 兴国 


家 或 者 是 新 的 网 络 公司 ， 将 没有 网 络 可 以 使 用 。 为 了 避免 这 个 问题 发 
生 ， 因 此 束 有 IPv6 


的 产生 。 IPv6 的 地 址 可 以 达到 128 位 ， 可 以 多 出 2 的 96 次 方 倍 的 网 址 
数量 ， 这 样 


的 IP 数量 几乎 用 不 完 啦 ! 虽然 IPv6 具有 前 颇 性 ， 但 目前 主流 媒体 大 多 
还 是 使 用 


IPv4 ， 因 此 本 文 主 要 谈 到 的 IP 都 指 IPv4 而 言 喔 ! ( 注 13) 


ne MAC 的 封装 ， 那 么 IP 封包 的 封装 也 得 要 来 了 解 一 
下 ， 能 








知道 IP 到 底 是 如 何 产生 的 啊 ! IP 封包 可 以 达到 65535 bytes 这 么 大 ， 在 
比 MAC 大 


的 情况 下 ， 我 们 的 操作 系统 会 对 IP 进行 拆 解 的 动作 。 至 于 IP 封装 的 表 
头 资 料 绘制 如 


下 : (下 图 第 一 行为 每 个 字段 的 bit 数 ) 
3 

4 bits 4 bits 

8 bits 

13 bits 

bits 

Type of 

Version IHL 

Total Length 

Service 

Identification 

Flags Fragmentation Offset 
Time To Live 

Protocol 

Header Checksum 

Source Address 


Destination Address 


Options 

Padding 

Data 

图 2.3-1、IP 封包 的 表 头 资料 


人 那 就 是 『 每 一 行 所 占用 的 位 数 为 ”32 
bits」 ， 


个 表 头 的 内 容 分 别 介绍 如 下 : 
Version( 版 本 ) 
告 这 个 IP 封包 的 版 本 ， 例 如 目前 惯用 的 还 是 IPv4 这 个 版 本 就 在 这 里 


下 有 和 
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IHL(Intermnet Header Length, IP 表 头 的 长 度 ) 


有 这 个 IP 封包 的 表 头 长 度 ， 使 用 的 单位 应 该 是 字 组 (word) ， 一 个 字 
组 > 


4bytes 大 小 喔 。 
Type of Service( 服 务 类 型 ) 
这 个 项 目的 内 容 为 【PPPDTRUU」， 表 示 这 个 IP 封包 的 服务 类 型 ， 主 


要 分 


PPP: 表示 此 IP 封包 的 优先 度 ， 目 前 很 少 使 用 ; 

D: 若 为 0 表示 一 般 延 迟 (delay)， 若 为 1 表示 为 低 延 迟 ; 

T: 奋 为 0 表示 为 一 般 传输 量 (throughput)， 帮 为 1 表示 为 高 传输 量 
R: 若 为 0 表示 为 一 般 可 靠 度 (reliability)， 若 为 1 表示 高 可 靠 度 。 




















UU: 保留 尚未 被 使 用 。 


gigabit 以 太 网 络 的 种 种 相关 规格 可 以 让 这 个 IP 封包 加 速 
降低 延 


， 某 些 特 殊 的 标志 就 是 在 这 里 说 明 的 。 
Total Length( 总 长 度 ) 
指 这 个 卫 封 包 的 总 容量 ， 包 括 表 头 与 内 容 (Data) 部 分 。 最 大 可 达 65535 








bytes。 
Identification( 辨 别 码 ) 


我 们 前 面 提 到 IP 袋子 必须 要 放 在 MAC 袋子 当中 。 不 过 ， 如 果 IP 袋子 
太 大 的 


0 IP 再 重组 成 较 小 的 袋子 然后 再 放 到 MAC 当中 。 而 当 
IP 


每 个 来 自 同一 个 IP 的 小 袋子 束 得 要 有 个 标识 符 以 告知 接收 端 这 
EE 小 伐 子 


其 实 是 来 自 同一 个 IP 封包 才 行 。 也 就 是 说 ， 假 如 I 封包 其 实 是 65536 
那么 


大 (前 一 个 Total Length 有 规定 )， 那么 这 个 IP 就 得 要 再 被 分 成 更 小 的 
IP 


分 下 后 才能 守 进 MAC 讯 虹 中。 那么 每 个 小 了 分 段 是 否 来 自 同一 个 了 


呵呵 ! 那 就 是 这 个 标识 符 的 功用 啦 ! 
Flags( 特 殊 旗 标 ) 
这 个 地 方 的 内 容 为 『ODM」， 其 意义 为 : 





D: 夺 为 0 表示 可 以 分 段 ， 夺 为 1 表示 不 可 分 段 
M: 大 为 0 表示 此 了 王 为 最 后 分 段 ， 大 为 1 表示 非 最 后 分 段 。 
Fragment Offset( 分 段 偏 移 ) 


表示 目前 这 个 IP 分 段 在 原始 的 IP 封包 中 所 占 的 位 置 。 就 有 扣 像 是 序号 


啦 ， 有 


这 个 序号 才能 将 所 有 的 小 IP 分 段 组 合成 为 原本 的 卫 封包 大 小 嘛 ! 透 过 
Total 








Length, Identification, Flags 以 及 这 个 Fragment Offset 就 能 够 将 小 IP 
分 段 在 收受 端 组 合 起 来 嗓 ! 
Time To Live(TTL, 存活 时 间 ) 


表示 这 个 卫 封包 的 存活 时 间 ， 范 围 为 0-255。 当 这 个 IP 封包 通过 一 个 
路 由 器 


时 ， TTL 就 会 减 一 ， 当 TIL 为 0 时 ， 这 个 封包 将 会 被 直接 丢弃 。 说 实 
在 的 ， 


要 让 IP 封包 通过 255 个 路 由 器 ， 还 挺 难 的 一 人 和 
Protocol Number( 协 定 代 码 ) 


来 目 传 输 层 与 网 络 层 本 号 的 其 他 数据 都 是 放置 在 卫 封包 当中 的 ， 我 们 
可 以 在 
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0 


上 1) IP 封包 内 的 数据 是 啥 ， 在 这 个 字段 就 是 记载 每 种 数据 
封包 六 


内 容 啦 ! 在 这 个 字段 记载 的 代码 与 相关 的 封包 协议 名 称 如 下 所 示 : 


IP 内 的 号 码 

封包 协议 名 称 (全 名 ) 

1 

ICMP (Internet Control Message Protoco]!) 

2 

IGMP (Internet Group Management Protocolj) 

3 

GGP (Gateway-to-Gateway Protocol!) 

4 

IP (IP in IP encapsulation) 

6 

TCP (Transmission Control Protocol) 

8 

EGP (Exterior Gateway Protocol]) 

17 

UDP (User Datagram Protocoj) 
当然 啦 ， 我 们 比较 常见 到 的 还 是 那个 TCP, UDP, ICMP 说 ! 
Header Checksum( 表 头 检查 码 ) 

用 来 检查 这 个 IP 表 头 的 错误 检验 之 用 。 


Source Address 


还 用 讲 吗 ? 当然 是 来 源 的 卫 地 址 ， 从 这 里 我 们 也 知道 IP 是 32 位 喔 ! 
Destination Address 

有 来 源 还 需要 有 目标 才能 传送 ， 这 里 就 是 目标 的 IP 地 址 。 
Options (其 他 参数 ) 


个 是 额外 的 功能 ， 提 供 包括 安全 处 理 机 制 、 路 由 纪录 、 时 间 惟 、 严 格 
与 宽松 之 


来 源 路 由 等 。 
Padding( 补 齐 项 目 ) 
由 于 Options 的 内 容 不 一 定 有 多 大 ， 但 是 我 们 知道 IP 每 个 数据 都 必须 要 


是 32 
bits， 所 以 ， 若 Options 的 数据 不 足 32 bits 时 ， 则 由 padding 主动 补 齐 。 


你 只 要 知道 IP 表 头 里 面 含 有 :TIL, Protocol, 来 源 地 址 与 目标 地 址 也 就 
够 了 ! 


而 这 个 IP 表 头 的 来 源 与 目标 IP ， 以 及 那个 判断 通过 多 少 路 由 器 的 TTL 
， 就 能 了 解 


到 这 个 IP 将 被 如 何 传送 到 目的 端 响 。 后 续 各 小 市 我 们 将 介绍 IP 的 组 成 
与 范围 ， 还 有 


IP 封包 如 何 传送 的 机 制 (路 由 ) 等 等 。 
2.3.2 IP 地 址 的 组 成 与 分 级 


现在 我 们 知道 IP (Internet Protocol) 其 实 是 一 种 网 络 封 包 ， 而 这 个 封包 的 
表 关 





最 重要 的 就 是 那个 32 位 的 来 源 与 目标 地 址 ! 为 了 方便 记忆 ， 所 以 我 们 
也 称 这 个 32 
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2 2 

1 

fi SNY 
(CON) Y 包 如 
的 





和 
人 和 


统 类 似 ! 那 这 个 IP 其 实 就 类 似 所 谓 的 『 门 牌号 码 」 啦 ! 那么 这 个 IP 有 
哪些 重要 的 


地 方 需要 了 解 的 呢 ? 底 下 我 们 就 来 谈 一 谈 吧 ! 

既然 IP 的 组 成 是 32 bits 的 数值 ， 也 就 是 由 32 个 0 与 1 组 成 的 一 连 串 数 
字 ! 

那么 当 我 们 思考 所 有 跟 IP 有 关 的 参数 时 ， 你 就 应 该 要 将 该 参数 想 成 是 
32 位 的 数据 喔 ! 


不 过 ， 因 为 人 类 对 于 二 进 制 实在 是 不 怎么 熟悉 ， 所 以 为 了 顺应 人 们 对 于 
十 进 制 的 依赖 性 ， 


因此 ， 就 将 32 bits 的 卫 分 成 四 小 段 ， 每 段 含有 8 个 bits ， 将 8 个 bits 
计算 


成 为 十 进 制 ， 并 且 每 一 段 中 间 以 小 数 点 隅 开 ， 那 就 成 了 目前 大 家 所 熟悉 
的 卫 的 书写 模 


样 了 。 如 下 所 示 : 
IP 的 表示 式 : 
00000000.00000000.00000000.00000000 ==> 0.0.0.0 


11111111.11111111.11111111.11111111 ==> 255.255.255.255 


所 以 IP 最 小 可 以 由 0.0.0.0 一 直到 255.255.255.255 哩 ! 但 在 这 一 串 数字 
中 ， 其 实 


还 可 以 分 为 两 个 部 分 喔 ! 主要 分 为 Net_ID (网 域 号 码 ) 与 Host_ID (主机 
号 码 ) 两 部 


份 。 我 们 先 以 192.168.0.0 ~ 192.168.0.255 这 个 Class C 的 网 域 当 作 例 子 
来 说 明 好 


7: 

192.168.0.0~192.168.0.255 这 个 Class C 的 说 明 : 
11000000.10101000.00000000.00000000 
11000000.10101000.00000000.11111111 
|---------- Net_ID--------- |-host--| 


在 上 面 的 范例 当中 ， 前 面 三 组 数字 (192.168.0) 就 是 网 域 号 码 ， 最 后 面 一 
组 数字 则 称 


为 主机 号 码 。 至 于 同一 个 网 域 的 定义 是 『 在 同一 个 物理 网 段 内 ， 主 机 
的 IP 具有 相同 


的 Net ID ， 并 且 具 有 独特 的 Host_ID」， 那 么 这 些 IP 群 就 是 同一 个 网 
域内 的 全 网 


段 啦 ! 











Tips: 

什么 是 物理 网 段 呢 ? 当 所 有 的 主机 都 是 使 用 同一 个 网 络 媒体 串 在 一 
起 ， 这 个 时 候 这 些 主机 在 实体 装置 上 面 其 实 是 联机 在 一 起 的 ， 那 么 
就 可 以 称 为 这 些 主机 在 同一 个 物理 网 段 内 了 ! 同时 并 请 注意 ， 同 一 
个 物理 网 段 之 内 ， 





可 以 依据 不 同 的 了 P 的 设 定 ， 
而 设 定 成 多 个 

[IP 网 
段 上 」 喔 ! 


上 面 例子 当中 的 192.168.0.0, 192.168.0.1, 192.168.0.2, ....，192.168.0.255 


( 关 


256 个 ) 这 些 IP 就 是 同一 个 网 域内 的 IP 群 (同一 个 网 域 也 称 为 同一 个 网 
段 ! )， 请 注 


同一 个 Net_ID 内 ， 不 能 具有 相同 的 Host ID ， 否 则 就 会 发 生 IP 冲 
， 可 能 会 


造成 两 部 主机 都 没有 办 法 使 用 网 络 的 问题 ! 


发 汪 
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IP 在 同一 网 域 的 意义 


那么 同一 个 网 域 该 怎么 设 定 ， 与 将 IP 设 定 在 同一 个 网 域 之 内 有 什么 好 
处 呢 ? 


Net ID 与 Host_ID 的 限制 : 


在 同一 个 网 段 内 ，Net_ID 是 不 变 的 ， 而 Host_ID 则 是 不 可 重复 ， 此 外 ， 
Host ID 


在 二 进 制 的 表示 法 当中 ， 不 可 同时 为 0 也 不 可 同时 为 1 ， 因 为 全 为 0 表 


示 整 


个 网 段 的 地 址 (Network IP)， 而 全 为 1 则 表示 为 广播 的 地 址 (Broadcast 
IP)。 








例如 上 面 的 例子 当中 ，192.168.0.0 (Host_ID 全 部 为 0) 以 及 192.168.0.255 
(Host_ID 全 部 为 1) 不 可 用 来 作为 网 段 内 主机 的 IP 设 定 ， 也 就 是 说 ， 这 


个 网 
段 内 可 用 来 设 定 主机 的 卫 是 由 192.168.0.1 到 192.168.0.254; 
在 区 网 内 透 过 IP 广播 传递 数据 


在 同 物理 网 段 的 主机 各 果 设 定 相同 的 网 域 思 范围 (不 可 重复 )， 则 这 些 
主机 都 


可 以 透 过 CSMA/CD 的 功能 直接 在 区 网 内 用 广播 进行 网 络 的 联机 ， 亦 即 
可 以 直接 


网 卡 对 网 卡 传递 数据 ( 透 过 MAC 讯 框 ); 
设 定 不 同 区 网 在 同 物理 网 段 的 情况 


在 同一 个 物理 网 段 之 内 ， 如 果 两 部 主机 设 定 成 不 同 的 IP 网 段 ， 则 由 于 
广播 地 址 


的 不 同 ， 导 致 无 法 透 过 广播 的 方式 来 进行 联机 。 ”此 时 得 要 透 过 路 由 右 


(router) 
来 进行 沟通 才能 将 两 个 网 域 连结 在 一 起 。 
网 域 的 大 小 


当 Host_ID 所 占用 的 位 越 大 ， 亦 即 Host_ID 数量 越 多 时 ， 表 示 同 一 个 网 
域内 可 


用 以 设 定 主机 的 IP 数量 越 多 。 


所 以 说 ， 贵 单位 公司 内 的 计算 机 群 ， 或 者 是 你 宿舍 或 家 里 面 的 所 有 计算 
机 ， 当 然 都 


设 定 在 同一 个 网 域内 是 最 方便 的 ， ”因为 如 此 一 来 每 一 部 计算 机 都 可 以 
直接 透 过 MAC 来 




















进行 数据 的 交流 ， 而 不 必 经 由 Router (路 由 器 ) 来 进行 封包 的 转 递 昵 ! 
(Router 这 部 


份 在 第 八 章 才 会 提 & js 


IP 与 门牌 写 码 的 联想 


刚 接 触 到 IP 组 成 的 朋友 都 很 困扰 ， 又 分 喻 网 域 号 码 与 主机 号 码 ， 烦 死 
了 1 其实， 


你 不 用 烦恼 啊 ! 使 用 门牌 号 码 的 概念 来 想 即 可 。 既然 IP 是 门牌 ， 那 拿 
我 们 昆山 科技 


大 学 的 门牌 来 说 好 了 ， 我 们 的 门牌 是 : 『 人 台南 市 永康 区 大 湾 路 949 
写 」， 假 设 整 个 大 

湾 路 是 同一 个 巷 弄 ， 那 么 我 们 这 个 门 脾 的 网 域 写 码 『 台 南 市 永康 区 大 湾 
路 |」 而 我 的 主机 


号 码 就 是 『 949 号 」， 那么 整 条 大 湾 路 上 面 只 要 古 开头 为 『 合 南 市 永 
康 区 大 湾 路 」 的 ， 


就 是 跟 我 们 同一 个 网 域 哆 ! 当然 啦 ， 门 牌号 码 不 可 能 有 第 二 个 949 号 
啊 ! 这 样 理解 否 ? 
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为 外 人 全 为 0 与 全 为 1 (二 进 制 的 概念 ) 时 ， 代 表 整 条 巷子 的 第 
= 


最 后 一 个 门牌 ， 而 第 一 个 门牌 我 们 让 他 代表 整 条 埠 子 ， 所 以 又 称 为 
Network IP， 就 是 


巷子 口 那个 XXX 巷 的 立 牌 啦 ! 至 于 最 后 一 个 IP ， 则 代表 埠 子 尾 ， 亦 即 
本 条 埠 子 的 最 


后 一 个 门牌 ，“ 那 就 是 我 们 在 巷子 内 广播 时 的 最 后 一 个 “ 卫 ， 又 称 为 





Broadcast IP 的 
哆 。 


在 我 们 这 个 巷子 内 ， 我 们 可 以 透 过 大 声 公 用 广播 的 方式 跟 大 家 沟通 讯 
昌 ， 例 如 前 几 


年 很 热门 的 张 君 雅 小 妹妹 的 泡 面 广告 ，“ 在 巷子 内 透 过 广播 告诉 张 君 雅 
小 妹妹 ， 你 阿 嫌 


将 泡 面 者 好 了 ， 赶 快 回 家 吃 面 去 ! 那 如 果 不 是 张 君 雅 小 妹妹 呢 ? 惑 将 该 
讯 恩 略 过 啊 ! 这 


样 有 没有 联想 到 CSMA/CD 的 概念 呢 ? 


那 如 果 你 的 数据 不 是 要 给 本 替 子 内 的 门牌 呢 ?” 此 时 你 束 得 要 将 资料 拿 给 
巷子 内 的 


邮局 (路 由 器 )， 由 邮局 帮 你 传送 ， 你 只 要 知道 巷子 内 的 那 间 邮局 在 哪里 
即 可 ， 其 他 的 


就 让 邮局 自己 帮 你 把 信件 传 出 去 即 可 啊 ! 这 就 是 整个 区 网 与 门牌 对 应 的 
想法 ! 这 样 有 


没有 比较 清晰 啊 ? 


ny 





IP 的 分 级 

0 1 要 想到 一 个 问题 ， 那 就 是 我 的 总 门牌 『 台 南 市 永康 区 大 湾 路 949 
到 哪里 是 巷子 而 到 哪里 是 门牌 ? ”如 果 到 『 人 台南 市 」 是 巷子 ， 那 么 我 的 
门牌 将 有 好 多 乡 


镇 的 组 成 ， 如 果 巷 子 号 码 到 『 合 南 市 永康 区 上 时， 那么 我 们 的 门牌 束 
又 少 了 点 。 所 以 





说 ， 这 个 『 埠 子 」 的 大 小 ， 将 会 影响 到 我 们 主机 号 码 的 数量 ! 
为 了 解决 这 个 问题 ， 以 及 为 了 IP 管理 与 发 放 注 册 的 方便 性 ，InterNIC 


将 整个 IP 


网 段 分 为 五 种 等 级 ， 每 种 等 级 的 范围 主要 与 IP 那 32 bits 数值 的 前 面 几 
个 位 有 关 ， 


基本 定义 如 下 : 
以 二 进 制 说 明 Network 第 一 个 数字 的 定义 : 


Class A : 0XXXXXXX.XXXXXXXX.XXXXXXXX.XXXXXXXX ==> Netl_D 的 开头 是 0 


10 


110 


Class D : 1110XXXX.XXXXXXXX.XXXXXXXX.XXXXXXXX ==> NetL_D 的 开头 是 
1110 

Class E : 1111XXXX.XXXXXXXX.XXXXXXXX.XXXXXXXX ==> NetL_D 的 开头 是 
1111 

五 种 分 级 在 十 进 制 的 表示 : 
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必 

Class A : 0.XX.XX.XX ~ 127.XX.XX.XX 
Class B : 128.XX.XX.XX ~ 191.XX.XX.XX 
Class C : 192.XX.XX.XX ~ 223.XX.XX.XX 
Class D : 224.XX.XX.XX ~ 239.XX.XX.XX 


Class E : 240.XX.XX.XX ~ 295D.XX.XX.XX 


根据 上 表 的 说 明 ， 我 们 可 以 知道 ， 你 只 要 知道 卫 的 第 一 个 十 进 制 数 ， 
就 能 够 约略 了 解 


到 该 IP 属于 哪 一 个 等 级 ， 以 及 同 网 域 耻 数量 有 多 少 。 这 也 是 为 啥 我 们 
上 3 这 


192.168.0.0 这 一 IP 网 段 来 说 明 时 ， 会 将 巷子 定义 到 第 三 个 数字 之 故 。 
不 过 ， 上 表 


中 你 只 要 记忆 三 种 等 级 ， 亦 即 是 Class A, B, C 即 可 ， 因 为 Class D 是 用 
来 作为 群 播 


(multicast) ”的 特殊 功能 之 用 (最 常用 在 大 批 计算 机 的 网 络 还 原 )， 人 至 于 
Class EE 则 是 


保留 没有 使 用 的 网 段 。 因 此 ， 能 够 用 来 设 定 在 一 般 系 统 上 面 的 ， 就 只 有 
Class A, B,C 


三 种 等 级 的 卫 哎 ! 
2.3.3 IP 的 种 类 与 取得 方式 


接 下 来 要 跟 大 家 谈 一 谈 也 是 很 容易 造成 大 家 困扰 的 一 个 部 分 ， 那 就 是 IP 
的 种 类 ! 


很 多 朋友 常常 听 到 什么 『 真 实 IP, 实体 IP, 虚拟 IP, 假 的 卫 .…j] 烦 都 烦 死 


my 
pe 











实 不 要 太 紧 张 啦 ! 实际 上 ， 在 IPv4 里 面 就 只 有 两 种 IP 的 类 别 ， 分 别 
是 : 


Public IP : 公共 IP ， 经 由 INTERNIC 所 统一 规划 的 IP， 有 这 种 IP 才 
可 以 连 上 Internet ; 

Private IP : 私有 IP 或 保留 耻 ， 不 能 直接 连 上 Internet 的 IP， 主 
要 用 于 局 域 网 络 内 的 主机 联机 规划 。 


| 规划 的 时 候 就 担心 IP 会 有 不 足 的 情况 ， 而 且 为 了 应 付 某 些 企 
\ 部 


网 络 设 定 ， 于 是 就 有 了 私有 IP (Private IP) 的 产生 了 。 私 有 卫 也 分 别 在 
A,B,C 三 


个 Class 当中 各 保留 一 段 作为 私有 IP 网 段 ， 那 就 是 : 


Class A: 10.0.0.0 - 10.255.255.255 














Class B: 172.16.0.0 - 172.31.255.255 
Class C: 192.168.0.0 - 192.168.255.255 


1 Class 的 IP 是 预 留 使 用 的 ， 所 以 并 不 能 直接 作为 Internet 上 


连接 之 用 ， 不 然 的 话 ， 到 处 束 都 有 相同 的 IP 哎 ! 那 怎么 行 ! 网 络 岂 不 
混乱 ? 所 以 史 ， 


这 三 个 IP 网 段 就 只 做 为 内 部 私有 网 域 的 IP 沟通 之 用 。 简 单 的 说 ， 他 有 
底下 的 几 个 限 


制 |: 
私有 IP 的 路 由 信息 不 能 对 外 散播 (只 能 存在 内 部 网 络 ); 
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2 IP 作为 来 源 或 目的 地 址 的 封包 ， 不 能 透 过 Internet 来 转送 
( SN 


然 网 络 会 混乱 ); 
关于 私有 IP 的 参考 纪录 (如 DNS)， 只 能 限于 内 部 网 络 使 用 (一 样 的 原 
理 





啦 ) 


人 有 什么 好 处 呢 ? 由 于 他 的 私有 路 由 不 能 对 外 直接 提供 信 
县 ， 所 以 ， 你 


的 内 部 网 络 将 不 会 直接 被 mnternet 上 面 的 Cracker 所 攻击 ! 但 是 ， 你 也 
天 无 法 以 私 
有 了 了 来 了 直接 上 网 」 鹃 ! 因此 相当 适合 一 些 尚 未 具有 Public IP 的 企业 
内 部 用 来 规 
划 其 网 络 之 设 定 ! 否则 当 你 随便 指定 一 些 可 能 是 Public IP 的 网 段 来 规划 
你 企业 内 部 


的 网 络 设 定时 ， 万 一 哪 一 天 真 的 连 上 Internet 了 ， 那 么 岂 不 是 可 能 会 造 
成 跟 Internet 











上 面 的 Public IP 相同 了 吗 ? 
此 外 ， 在 没有 可 用 的 公开 网 络 情况 下 ， 如 果 你 想 要 跟 同 学 玩 联机 游戏 怎 
办 ? 也 就 是 





说 ， 在 区 网 内 上 自己 玩 上 自己 的 联机 游戏 ，“” 此 时 你 只 要 规范 好 所 有 同学 在 
同一 段 私 有 卫 网 


段 中 ， 就 能 够 顺利 的 玩 你 的 网 络 啦 ! 惑 这 么 简单 呢 ! 


那么 万 一 你 又 要 将 这 些 私 有 IP 送 上 Internet 呢 ? 这 个 简单 ， 设 定 一 个 简 
单 的 防 


火 墙 加 上 NAT (Network Address Transfen 服务 ， 你 就 可 以 透 过 IP 伪装 


(不 要 急 ， 


这 个 在 后 面 也 会 提 到 ) 来 使 你 的 私有 IP 的 计算 机 也 可 以 连 上 Internet 
嘿 ! 


特殊 的 loopback IP 网 段 


好 了 ， 那 么 除了 这 个 预 留 的 IP 网 段 的 问题 之 外 ， 还 有 没有 什么 其 他 的 
怪 东 西 呢 ? 


当然 是 有 啦 ! 不 然 乌 哥 干 嘛 花 时 则 来 吐 XX 呢 ? 没 错 ， 还 有 一 个 奇怪 的 
Class A 的 网 


域 ， 那 就 是 lo 这 个 奇怪 的 网 域 啦 (注意 : 是 小 写 的 o 而 不 是 零 喔 )! 这 个 
lo 的 网 络 


古 当 初 被 用 来 作为 测试 操作 系统 内 部 循环 所 用 的 一 个 网 域 ， 同 时 也 能 够 
提供 给 系统 内 部 


原本 就 需要 使 用 网 络 接口 的 服务 (daemon) 所 使 用 。 


简单 的 说 ， 如 果 你 没有 安装 网 络 卡 在 的 机 器 上 面 ， “但 是 你 又 希望 可 以 
测试 一 下 在 


你 的 机 器 上 面 设 定 的 服务 器 环境 到 底 可 不 可 以 顺利 运作 ， 这 个 时 候 怎 么 
办 ， 嘿嘿 ! 就 








是 利用 这 个 所 谓 的 内 部 循环 网 络 啦 ! 这 个 网 段 在 127.0.0.0/8 这 个 Class 
A， 而 且 默 


认 的 主机 (localhost) 的 IP 是 127.0.0.1 哎 ! 所 以 哪 ， 当 你 启动 了 你 的 
WWW 服务 


器 ， 然 后 在 你 的 主机 的 X-Window 上 面 执行 http://localhost 就 可 以 直接 
看 到 你 的 主 


页 哆 ! 而 且 不 需要 安装 网 络 卡 呢 ! 测试 很 方便 吧 ! 





此 外 ， 你 的 内 部 使 用 的 mail 怎么 运送 邮件 呢 ? 例如 你 的 主机 系统 如 何 


mail 给 


root ”这 个 人 呢 ? 嘿嘿 ! 也 就 是 使 用 这 一 个 内 部 循环 啦 ! 当 要 测试 你 的 
TCP/IP 封包 与 


状态 是 人 否 正 第 时 ， 可 以 使 用 这 个 哟 ! (所 以 哪 一 天 有 人 问 你 嘿 ! 你 的 主 
机 上 面 没 有 网 络 


卡 ， 那么 你 可 以 测试 你 的 WWW 服务 器 设 定 是 人 否 正 确 吗 ? 这 个 时 候 可 
得 回答 : 当然 可 以 


哆 ! 使 用 127.0.0.1 这 个 Address 呀 ! 人 人 ) 
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IP 的 取得 方式 


谈 冠 了 JP 的 种 类 与 等 级 还 有 相关 的 于 域 概 仓 后 ， 接 下 来 我 们 得 来 了 解 
-< 下 于 妈 


主机 的 IP 是 如 何 设 定 的 呢 ? 基本 上 ， 主 机 的 卫 与 相关 网 域 的 设 定 方式 
主要 有 : 


四 直接 手动 设 定 (static): ”你 可 以 直接 向 你 的 网 管 询问 可 用 的 IP 相关 参 








然后 直接 编辑 配置 文件 (或 使 用 某 些 软件 功能 ) 来 设 定 你 的 网 络 。 常见 
于 校园 


网 络 的 环境 中 ， 以 及 向 ISP 申请 固定 卫 的 联机 环境 ; 


透 过 拨 接 取得 :，” 辐 你 的 ISP 申请 注册 ， 取 得 账号 密码 后 ， 直 接 拨 接 
到 ISP ， 





| 会 透 过 他 们 自己 的 设 定 ， 让 你 的 操作 系统 取得 正确 的 网 络 参 
数 。 此 让 


0 网 络 参数 啦 。 目 前 台湾 的 ADSL 拨 





到 大 楼 、 光 纤 到 府 等 ， 大 部 分 都 是 使 用 拨 接 的 方式 。 “为 因应 用 户 的 需 
求 ， 某 些 ISP 


也 提供 很 多 不 同 的 IP 分 配 机 制 。 包 括 hinet，seednet 等 等 都 有 提供 
ADSL 找 


接 后 取得 固定 IP 的 方式 喔 ! 详情 请 辣 你 的 ISP 洽 询 。 


， 自动 取得 网 络 参数 (DHCP)。 在 局 域 网 络 内 会 有 一 部 主机 负责 管理 所 
计 


机 的 网 络 参数 ， 你 的 网 络 局 动 时 就 会 主动 问 该 服务 器 要 求 IP 参数 ， 奉 
取得 网 


络 相 关 参 数 后 ， 你 的 主机 就 能 够 自行 设 定好 所 有 服务 器 给 你 的 网 络 参数 


了 。 最 向 


使 用 于 企业 内 部 、IP 分 享 器 后 端 、 校园 网 络 与 宿舍 环境 ， 及 费 线 宽带 
等 联机 方 


7 
不 管 是 使 用 上 面 哪 种 方式 取得 的 IP ， 你 的 IP 都 只 有 所 谓 的 『 Public 与 
Private IP 」 而 已 ! 而 其 他 什么 浮动 式 、 固 定制 、 动态 式 等 等 有 的 没有 


的 ， 就 只 是 告 
诉 你 这 个 IP 取得 的 方式 而 已 。 举 例 来 说 ， 人 台湾 地 区 ADSL 拨 接 后 取得 
的 IP 通常 是 


和 IP， 但 是 乌 哥 曾 接 到 香港 网 友 的 来 信 ， 他 们 ADSL 拨 接 后 ， 取 得 
和 IP 是 








Private ， 所 以 导致 无 法 架设 网 站 喔 ! 
2.3.4 Netmask, 子 网 与 CIDR (Classless Interdomain Routing) 


我 们 前 面谈 到 IP 是 有 等 级 的 ， 而 设 定 在 一 般 计 算 机 系统 上 面 的 则 是 
Class A, B, 


C。 现 在 我 们 来 想 一 想 ， 如 果 我 们 设 定 一 个 区 网 ， 使 用 的 是 Class A ， 
那么 我 们 很 容 


易 就 会 想到 ， 哪 有 这 么 多 计算 机 可 以 设 定 在 同一 个 Class A 的 区 段 内 


(256x256x256-2=16777214) ? 而 且 ， 假 设 真 有 这 么 多 计算 机 好 了 ， 回 想 
一 下 CSMA/CD 


吧 ， 你 的 网 络 恐 怕 会 一 直 非 常 集 顿 ， 因 为 你 得 要 接 到 一 千 多 万 台 计 算 机 
对 你 的 广播 .… 


光 是 想到 一 千 多 万 台 的 广播 ， 你 的 网 络 还 能 使 用 吗 ? 真 没 效率 ! 


此 外 ， 分 为 Class 的 卫 等级， 是 为 了 管理 方面 的 考虑 ， 事 实 上 ， 我 们 不 
可 能 将 


一 个 Class A 仪 划 定 为 一 个 区 网 。 举 例 来 说 ， 我们 昆山 取得 的 Public IP 


是 120.XXX 
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开头 的 ， 但 是 其 实 我 们 只 有 120.114.xxx.xxx ” 而已， 并 没有 取得 整个 
ClassA 喔 ! 


为 我 们 学 校 也 用 不 了 这 么 多 嘛 ! 这 个 时 候 ， 我 们 就 得 要 理解 一 下 吃 ， 就 


是 ， 怎 么 将 Class 


A 的 网 段 变 小 ? 换 句 话说 ， 我 们 如 何 将 网 域 切 的 更 细 呢 ? 这 样 不 就 可 
以 分 出 更 多 段 的 


区 网 给 大 家 设 定 了 ? 


前 面 我 们 提 到 IP 这 个 32 位 的 数值 中 分 为 网 域 号 码 与 主机 号 码 ， 其 中 
Class C 


的 网 域 号 码 占 了 24 位 ， 而 其 实 我 们 还 可 以 将 这 样 的 网 域 切 的 更 细 ， 就 


是 让 第 一 个 


Host_ID 被 拿 来 作为 Net ID ， 所 以 ， 整 个 Net_ID 就 有 25 bits ， 人 至 于 
Host_ID 则 


减少 为 7 bits 。 在 这 样 的 情况 下 ， 原 来 的 一 个 Class C 的 网 域 就 可 以 被 
切 分 为 两 个 


子 域 ， 而 每 个 子 域 就 有 『 256/2 - 2 = 126 」 个 可 用 的 I 了! 这 样 一 来 ， 
就 能 够 将 


原本 的 一 个 网 域 切 为 两 个 较 细 小 的 网 域 ， 方 便 分 门 别 类 的 设计 喔 。 








Netmask, 或 称 为 Subnet mask ( 子 网 掩 码 ) 


a 6 那 就 是 Netmask ( 子 网 掩 码 ) 的 
用 途 啦 ! 


这 个 Netmask 是 用 来 定义 出 网 域 的 最 重要 的 一 个 参数 了 ! 不 过 他 也 最 难 
理解 了 一 @_@。 


为 了 帮助 大 家 比较 容易 记忆 住 Netmask 的 设 定 依据 ， 底 下 我 们 介绍 一 个 
比较 容易 记忆 


的 方法 。 同 样 以 192.168.0.0 ~ 192.168.0.255 这 个 网 域 为 范例 好 了 ， 如 下 
所 示 ， 这 


个 IP 网 段 可 以 分 为 Net_ID 与 Host ID， 既 然 Net_ID 是 不 可 变 的 ， 那 就 
假设 他 所 占 


据 的 bits 已 经 被 用 区 了 (全 部 为 1)， 而 Host_ID 是 可 变 的 ， 就 将 他 想 成 
是 保留 着 


(全 部 为 0)， 所 以 ， Netmask 的 表示 就 成 为 : 

192.168.0.0~192.168.0.255 这 个 C Class 的 Netmask 说 明 

第 一 个 IP: 11000000.10101000.00000000.00000000 

最 后 一 个 : 11000000.10101000.00000000.11111111 

|---------- Net_ID--------- |-host--| 

Netmask : 11111111.11111111.11111111.00000000 <== Netmask 二 进 制 
255 .255 .255 . 0 <== Netmask 十 进 制 | 

特别 注意 嘿 ，netmask 也 是 32 位 ， 在 数值 上 ， 位 于 Net_ID 的 为 1 而 

Host_ID 为 0 


将 他 转 成 十 进 制 的 话 ， 就 成 为 『255.255.255.0」 啦 ! 这 样 记忆 简单 多 了 
吧 ! 照 这 样 的 


记忆 方法 ， 那 么 A, B,C Class 的 Netmask 表示 就 成 为 这 样 : 





Class A, B, C 三 个 等 级 的 Netmask 表示 方式 : 

Class A :11111111.00000000.00000000.00000000 ==> 255. 0. 0.0 
Class B :11111111.11111111.00000000.00000000 ==> 255.255. 0. 0 
Class C :11111111.11111111.11111111.00000000 ==> 255.255.255. 0 
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所 以 说 ， 192.168.0.0 ~ 192.168.0.255 这 个 Class C 的 网 域 中 ， 他 的 
Netmask 就 


是 255.255.255.0 ! 再 来 ， 我 们 刚刚 提 到 了 当 Host_ID 全 部 为 0 以 及 全 部 
为 1 的 时 





后 该 卫 是 不 可 以 使 用 的 ， 因 为 Host_ID 全 部 为 0 的 时 后 ， 表 示 IP 是 该 
网 段 的 


Network ， 至 于 全 部 为 1 的 时 后 就 表示 该 网 段 最 后 一 个 IP ， 也 称 为 
Broadcast ， 所 


以 说 ， 在 192.168.0.0 ~ 192.168.0.255 这 个 IP 网 段 里 面 的 相关 网 络 参数 
就 有 : 


Netmask: 255.255.255.0 <== 网 域 定义 中 ， 最 重要 的 参数 





Network: 192.168.0.0 <== 第 一 个 IP 
Broadcast: 192.168.0.255 <== 最 后 一 个 IP 
可 用 以 设 定 成 为 主机 的 IP 数 : 


192.168.0.1 ~ 192.168.0.254 


子 网 切 分 
好 了 ， 刚 刚 提 到 Class C 还 可 以 继续 进行 子 域 (Subnet) 的 切 分 啊 ， 以 


192.168.0.0 ~192.168.0.255 这 个 情况 为 例 ， 他 要 如 何 再 细 分 为 两 个 子 域 
呢 ? 我 们 已 


经 知道 Host_ID 可 以 拿 来 当 作 Net_ID， 那 么 Net_ID 使 用 了 25 bits 时 ， 
就 会 如 下 


所 示 : 
原本 的 C Class 的 Net_ID 与 Host_ID 的 分 别 
11000000.10101000.00000000.00000000 Network: 192.168.0.0 


11000000.10101000.00000000.11111111 Broadcast: 192.168.0.255 


|---------- Net_ID--------- |-host--| 

切 成 两 个 子 网 之 后 的 Net_ID 与 Host_ID 为 何 ? 
11000000.10101000.00000000.0 0000000 多 了 一 个 Net ID 了 , 为 0 (第 一 
个 子 网 ) 

11000000.10101000.00000000.1 0000000 多 了 一 个 Net ID 了 ,为 1 (第 二 
个 子 网 ) 

|---------- Net_ID----------- |-host--| 

第 一 个 子 网 

Network: 11000000.10101000.00000000.0 0000000 192.168.0.0 
Broadcast: 11000000.10101000.00000000.0 1111111 192.168.0.127 
|---------- Net_ID----------- |-host-| 

Netmask: 11111111.11111111.11111111.1 0000000 255.255.255.128 
第 二 个 子 网 

Network: 11000000.10101000.00000000.1 0000000 192.168.0.128 
Broadcast: 11000000.10101000.00000000.1 1111111 192.168.0.255 
|---------- Net_ID----------- |-host-| 
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Netmask: 11111111.11111111.11111111.1 0000000 255.255.255.128 


所 以 说 ， 当 再 细 分 下 去 时 ， 融 会 得 到 两 个 子 域 ， 而 两 个 子 域 还 可 以 再 细 
分 下 去 喔 (Net_ID 


用 挤 26 bits ....)。 呵 呵 ! 如 果 你 真 的 能 够 理解 IP，Network，Broadcast， 








Netmask 

的 话 ， 恭 喜 你 ， 未 来 的 服务 器 学 习 之 路 已 经 顺畅 了 一 半 啦 ! 人 信 
例题 : 

试 着 计算 出 172.16.0.0， 但 Net_ID 占用 23 个 位 时 ， 这 个 网 域 的 
Netmask, Network, Broadcast 等 参数 

答 : 

由 于 172.16.xxx.xxx 是 在 Class B 的 等 级 当中 ， 亦 即 Net_ ID 是 16 位 

才 对 。 不 过 题目 给 的 Net_ID 占用 了 23 个 位 吗 ! 等 于 是 同 Host_ID 借 了 
(23-16) 7 个 位 用 在 Net_ID 当中 。 所 以 整个 IP 的 地 址 会 变 成 这 样 : 

预 设 : 172 . 16 .0000000 0.00000000 

|----Net_ID-------------- |--Host---| 

Network: 172 . 16 .0000000 0.00000000 172.16.0.0 

Broadcast: 172 . 16 .0000000 1.11111111 172.16.1.255 

Netmask: 11111111.11111111.1111111 0.00000000 255.255.254.0 

鸟 哥 在 这 里 有 偷懒 ， 因 为 这 个 IP 段 的 前 16 个 位 不 会 被 改变 ， 所 以 并 没 
有 计算 成 二 进 制 (172.16)， 真 是 不 好 意思 啊 一 至 于 粗 体 部 分 则 是 代表 
host_ ID 啊 ! 


其 实 子 网 的 计算 是 有 偷 吃 步 的 ， 我 们 知道 卫 是 二 进 制 ， 每 个 位 就 是 2 
的 识 方 二 及 让 


于 IP 数量 都 是 平均 分 配 到 每 个 子 网 去 ， 所 以 ， 如 果 我 们 以 192.168.0.0 





192.168.0.255 这 个 网 段 来 说 ， 要 是 给 予 Net_ID 是 26 位 时 ， 总 共 分 为 几 
段 呢 ? 


为 26-24=2 ， 所 以 总 共享 掉 两 个 位 ， 因 此 有 2 的 2 次 方 ， 得 到 4 个 网 
段 。 再 将 256 


个 了 正平 均 分 配 到 4 个 网 段 去 ， 那 我 们 束 可 以 知道 这 四 个 网 段 分 别 是 : 
192.168.0.0~192.168.0.63 
192.168.0.64~192.168.0.127 
192.168.0.128~192.168.0.191 
192.168.0.192~192.168.0.255 


有 没有 变 简单 的 感觉 啊 ? 那 你 再 想 想 ， 如 果 同 样 一 个 网 段 ， 那 “Net_ID 
变 成 27 个 


位 时 ， 又 该 如 何 计算 呢 ? 目 己 算 算 看 吧 ! 


无 层级 IP: CIDR (Classless Interdomain Routing) 


一 般 来 说 ， 如 果 我 们 知道 了 Network 以 及 Netmask 之 后 ， 就 可 以 定义 出 
该 网 域 的 


所 有 IP 了 ! 因为 由 Netmask 就 可 以 推算 出 来 Broadcast 的 IP 啊 ! 
此 ， 我 们 常常 


会 以 Network 以 及 Netmask 来 表示 一 个 网 域 ， 例 如 这 样 的 写法 : 
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0 


Network/Netmask 


192.168.0.0/255.255.255.0 
192.168.0.0/24 <== 因 为 Net ID 共有 24 个 bits 


另外 ， 既 然 Netmask 里 面 的 Net ID 都 是 1 ， 那 么 Class C 共有 24 bits 
的 Net_ ID ， 


所 以 啦 ， 就 有 类 似 上 面 192.168.0.0/24 这 样 的 写法 嘿 ! 这 就 是 一 般 网 域 
的 表示 方法 。 


同 理 可 证 ， 在 上 述 的 偷 吃 步 计算 网 域 方 法 中 ， 四 个 网 段 的 写法 束 可 以 写 
成 : 


192.168.0.0/26 
192.168.0.64/26 
192.168.0.128/26 
192.168.0.192/26 


事实 上 ， 由 于 网 络 细 分 的 情况 太 严 重 ， 为 了 担心 路 由 信息 过 于 庞大 导致 
网 络 效能 不 


佳 ， 因 此 ， 某 些 特殊 情况 下 ， 我 们 反而 是 将 ”Net_ID 借用 来 作为 
Host_ID 的 情况 ! 这 


样 就 能 够 将 多 个 网 域 写成 一 个 啦 ! 举例 来 说 ， 我 们 将 256 个 Class C 的 
私有 IP 


(192.168.0.0~192.168.255.255) 写成 一 个 路 由 信息 的 话 ， 那 么 这 个 网 段 的 
写法 就 会 变 

成 : 192.168.0.0/16， 反 而 将 192 开头 的 Class C 变 成 class B 的 样子 
了 ! 这 种 


打破 原本 IP 代表 等 级 的 方式 ( 透 过 Netmask 的 规范 ) 就 被 称 为 无 等 级 网 
域 间 路 由 


(CIDR) 哆 ! ( 注 14) 


老实 说 ， 你 无 须 理会 喻 是 无 等 级 网 域 间 路 由 啦 ! 只 要 知道 ， 那 个 
Network/Netmask 


的 写法 ， 通 常 就 是 CIDR 的 写法 ! 然后 ， 你 也 要 知道 如 何 透 过 Netmask 
去 计算 出 


Network, Broadcast 及 可 用 的 IP 等 ， 那 你 的 IP 概念 就 相当 完整 了 ! 和信 
2.3.5 路 由 概念 


个 区 网 里 面 ， 可 以 透 过 卫 广播 的 方式 来 达到 资料 传递 
日 日 


如 果 是 非 区 网 内 的 数据 呢 ? 这 时 束 得 要 透 过 那个 所 请 的 邮局 (路 由 器 ) 
的 帮忙 了 ! 这 


也 是 网 络 层 非常 重要 的 概念 喔 ! 先 来 看 看 什么 是 区 网 吧 ! 


例题 : 





请 问 192.168.10.100/25 与 192.168.10.200/25 是 否 在 同一 个 网 域 

内 ? 

管 ; 

如 果 经 过 计算 ， 会 发 现 192.168.10.100 的 Network 为 192.168.10.0 ， 
但 是 192.168.10.200 的 Network 却 是 192.168.10.128， 由 于 Net_ID 不 相 
同 ， 所 以 当然 不 在 同一 个 网 段 内 ! 关于 Network 与 Netmask 的 算法 则 请 


少 





EE-== 
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Network A 








| 


“HE "EE "BE - EE 


PCDl PC O02 PC 03 PC 04 
IP:192.168.0.1 IP:192.168.0.2 IP:192.168.0.3 IP:192.168.0.4 
GW:192.168.0.254 GW:192.168.0.254 GW:192.168.0.254 GW:192.168.0.254 





上 | | 













192.168.1.254 


192.1068.0,254 





| Fl RES 
IP:192.168.1.1 IP:192.168.1.2 IP:192.168.1.3 IP:192.168.1.4 
GW:192.168.1.254 GW:192.168.1.254 GW:192.168.1.254 GW:192.168.1.254 


Network B 


如 上 题 所 述 ， 那 么 这 两 个 网 段 的 数据 无 法 透 过 广播 来 达到 数据 的 传递 
啊 ， 那 怎 办 ? 此 


时 就 得 要 经 过 IP 的 路 径 选择 (routing) 功能 啦 ! 我 们 以 下 面 图 示 的 例子 
来 做 说 明 。 


下 列 图 示 当 中 共有 两 个 不 同 的 网 段 ， 分 别 是 Network A 与 Network B， 
这 两 个 网 段 是 


经 由 一 部 路 由 器 (Server A) 来 进行 数据 转 递 的 ， 好 了 ， 那 么 当 PC01 这 
部 主机 想 要 传 


送 数 据 到 PC11 时 ， 他 的 卫 封 包 该 如 何 传输 呢 ? 
图 2.3-2、 人 简易 的 路 由 示意 图 





我 们 知道 Network A(192.168.0.0/24) 与 Network B(192.168.1.0/24) 是 不 
同 网 


段 ， 所 以 PC01 与 PC11 是 不 能 直接 互通 数据 的 。 不 过 ， PC01 与 PC11 
是 如 何 知道 他 


们 两 个 不 在 同一 个 网 段 内 ? 这 当然 是 透 过 Net_ID 来 友 现 的 ! 那么 当主 
机 想 要 传送 数据 


时 ， 他 主要 的 参考 是 喻 ? 很 简单 ! 是 『 路 由 表 (route table)」， 每 部 主 
机 都 有 自己 


的 路 由 表 」， 让 我 们 来 看 一 看 预 设 的 情况 下 ， PC01 要 如 何 将 数据 传送 
到 PC02 呢 ? 


1. 查询 IP 封包 的 目标 卫 地 址 : 
当 PC01 有 IP 封包 需要 传送 时 ， 主 机 会 查阅 IP 封包 表 头 的 目标 IP 地 
址 ; 





2. 查询 是 否 位 于 本 机 所 在 的 网 域 之 路 由 设 定 : 


1 主机 会 分 析 自 己 的 路 由 表 ， 当 发 现 目标 卫 与 本 机 IP 的 Net_ID 相 
同 压 


oy 则 PC01 会 直接 透 过 区 网 功能 ， 将 数据 直接 传送 给 目的 地 
3 
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Internet 





: Server A Server B Server Bingo 
GW:Server A GW: Server B Gerver i 


3. 查询 预 设 路 由 (default gateway): 

| PC01 与 PC11 并 非 同一 网 域 ， 因 此 PC01 会 分 析 路 由 表 
3 

否 有 其 他 相符 合 的 路 由 设 定 ， 如 果 没 有 的 话 ， 就 直接 将 该 卫 封包 送 到 
预 设 路 

由 器 (default gateway) 上 头 去 ， 在 本 案例 当中 default gateway 则 是 


Server 

A 这 一 部 。 

4. 送出 封包 至 gateway 后 ， 不 理会 封包 流 问 : 

当 IP 由 PC01 送 给 Server A 之 后 ， PC01 就 不 理会 接 下 来 的 工作 。 而 


Server 


A 接收 到 这 个 封包 后 ， 会 依据 上 述 的 流程 ， 也 分 析 自 己 的 路 由 信息 ， 
然后 回 后 


继续 传输 到 正确 的 目的 地 主机 上 头 。 

Tips: 

Gateway /Ronuter : 网 关 / 路 由 器 的 功能 就 是 在 负责 不 同 网 域 之 间 
的 封包 转 递 (IP Forwarding)， 由 于 路 由 器 具有 IP Forwarding 的 
功能 ， 并 且 具 有 管理 路 由 的 能 力 ， 所 以 可 以 将 来 自 不 同 网 域 之 间 的 








封包 进行 转 递 的 功能 。 此 外 ， 你 的 主机 与 你 主机 设 定 的 Gateway 必 
定 征 在 同一 个 网 段 内 喔 ! 


大 致 的 情况 就 是 这 样 ， 所 以 每 一 部 主机 里 面 都 会 存在 着 一 个 路 由 表 
(Route table)， 数 


据 的 传递 将 依据 这 个 路 由 表 进行 传送 ! 而 一 旦 封包 已 经 经 由 路 由 表 的 规 
则 传送 出 去 后 ， 


那么 主机 本 里 就 已 经 不 再 管 封包 的 流向 了 ， 因 为 该 封包 的 流向 将 是 下 一 
个 主机 (也 就 是 


那 部 Routenr 来 进行 传送 ， 而 Router 在 传送 时 ， 也 是 依据 Router 自己 的 
路 由 表 来 


0 整体 来 说 ， 数 据 传 送 有 点 像 这 








图 2.3-3、 路 由 的 概念 


PC 01 要 将 资料 送 到 Server Bingo 去 ， 则 依据 目 己 的 路 由 表 ， 将 该 封包 
送 到 


Server A 去 ，Server A 再 继续 送 到 Server B ， 然 后 在 一 个 一 个 的 接力 给 
他 送 下 去 ， 


最 后 总 是 可 以 到 达 Server Bingo 的 。 


上 面 的 案例 是 一 个 很 简单 的 路 由 概念 ， 事 实 上 ， Internet 上 面 的 路 由 协 
议 汪 变化 


征 相 当 复杂 的 ， 因 为 Internet 上 面 的 路 由 并 不 是 静态 的 ， 他 可 以 随时 因 
为 环境 的 变化 


而 修订 每 个 封包 的 传送 方向 。 ”举例 来 说 ， 数 年 前 在 新 竹 因为 土木 施工 
导致 台湾 西部 整 


个 网 络 线 线 的 中 断 。 “不 过 南北 的 网 络 竟然 还 是 能 通 ， 为 什么 呢 ? 因为 








路 由 已 经 判断 出 


西部 统 线 的 终止 ， ”因此 他 自动 的 导 癌 台湾 东部 的 花 芝 路线， 里 然 如 此 
一 来 经 了 一 大 图 ， 


而 且 造 成 网 络 的 大 塞车 ，“ 不 过 封包 还 是 能 通 就 是 了 ! 这 个 例子 仅 是 想 
告诉 大 家 ， 我 们 
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0 
上 面 提 的 路 由 仅 是 一 个 很 简单 的 静态 路 由 情况 ， ”如 果 想 要 更 深入 的 了 


解 route ， 请 自 
行 参考 相关 书籍 咀 ! 人 人 人， 


此 外 ， 在 属于 Public 的 Internet 环境 中 ， 由 于 最 早 时 的 卫 分 配 都 已 经 配 
置 妥 


当 ， 所 以 各 单位 的 路 由 一 经 设 定 妥 当 后 ， 上 层 的 路 由 则 无 须 担心 啊 ! IP 
的 分 配 可 以 参 


考 底下 的 网 页 : 
台湾 地 区 IP 核发 情况 : 





http://rms.twnic.net.tw/twnic/User/Member/Search/main7.jsp?Order=inet 
aton(Startip) 
2.3.6 观察 主机 路 由 : route 


既然 路 由 是 这 么 的 重要 ， 而 且 『 路 由 一 旦 设 定 错误 ， ”将 会 造成 某 些 在 
包 完 全 无 法 


正确 的 送出 去 ! 上 所 以 我 们 当然 需要 好 好 的 来 观察 一 下 我 们 主机 的 路 
由 表 啦 ! 还 是 请 


再 注意 一 下 ， ”每 一 部 主机 都 有 自己 的 路 由 表 喔 ! 观察 路 由 表 的 指令 很 


简单 ， 就 是 route ， 


这 个 指令 挺 难 的 ， 我 们 在 后 面 章节 再 继续 的 介绍 ， 这 里 仅 说 明 一 些 比较 
简单 的 用 法 : 


[root@www ~]# route [-n] 

选项 与 参数 : 

-n: 将 主机 名 以 IP 的 方式 显示 

[root@www ~]# route 

Kernel IP routing table 

Destination Gateway Genmask Flags Metric Ref 
Use Iface 

192.168.0.0 * 255.255.255.0U00 

0 eth0 

127.0.0.0 * 255.0.0.0U00 

0 lo 

default 192.168.0.254 0.0.0.0 UG 00 

0 eth0 

[root@www ~]# route -n 

Kernel IP routing table 

Destination Gateway Genmask Flags Metric Ref 


Use Iface 


192.168.0.0 0.0.0.0 255.255.255.0U00 

0 eth0 

127.0.0.0 0.0.0.0 255.0.0.0U00 

0 1o 
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0.0.0.0 192.168.0.254 0.0.0.0 UG 0 0 

0 eth0 

# 上 面 输 出 的 数据 共有 八 个 字段 ， 你 需要 注意 的 有 几 个 地 方 : 


# Destination : 其 实 就 是 Network 的 意思 ; 





# Gateway : 就 是 该 接口 的 Gateway 那个 IP 啦 ! 若 为 0.0.0.0 表示 不 
需要 额外 的 IP; 

# Genmask : 就 是 Netmask 啦 ! 与 Destination 组 合成 为 一 部 主机 或 网 
域 ; 

# Flags : 共有 多 个 旗 标 可 以 来 表示 该 网 域 或 主机 代表 的 意义 : 

#U: 代表 该 路 由 可 用 ; 

#G: 代表 该 网 域 需 要 经 由 Gateway 来 帮忙 转 递 ; 

# 再 : 代表 该 行路 由 为 一 部 主机 ， 而 非 一 整个 网 域 ; 

# Iface : 就 是 Interface (接口 ) 的 意思 。 


在 上 面 的 例子 当中 ， 鸟 哥 是 以 PC 01 这 部 主机 的 路 由 状态 来 进行 说 明 。 
由 于 PC 01 为 








192.168.0.0/24 ”这 个 网 域 ， 所 以 主机 已 经 建立 了 这 个 网 域 的 路 由 了 ， 那 
就 是 





『 192.168.0.0 * 255.255.255.0 ...，」 那 一 行 所 显示 的 讯息 ! 当 你 下 达 
route 时 ， 


屏幕 上 说 明了 这 部 机 器 上 面 共 有 三 个 路 由 规则 ， 第 一 栏 为 『 目 的 地 的 网 
域 ] ， 例 如 


192.168.0.0 就 是 一 个 网 域 咯 ， 最 后 一 栏 显 示 的 是 『 要 去 到 这 个 目的 地 
要 使 用 哪 一 个 


网 络 接 口 ! 」 例 如 eth0 就 是 网 络 卡 的 装置 代号 啦 。 如 果 我 们 要 传送 的 
封包 在 路 由 规则 

里 面 的 192.168.0.0/255.255.255.0 或 者 127.0.0.0/255.0.0.0 里 面 时 ， 因 为 
第 二 栏 

Gateway 为 * ， 所 以 就 会 直接 以 后 面 的 网 络 接口 来 传送 出 去 ， 而 不 透 过 
Gateway 咯 ! 

万 一 我 们 要 传送 的 封包 目的 地 IP 不 在 路 由 规则 里 面 ， 那 么 就 会 将 封包 
传送 到 

『defaultj 所 在 的 那个 路 由 规则 去 ， 也 就 是 192.168.0.254 那个 Gateway 
喔 ! 所 以 ， 


几乎 每 一 部 主机 都 会 有 一 个 default gateway 来 帮 他 们 负责 所 有 非 网 域内 
的 封包 转 递 ! 


这 是 很 重要 的 概念 喔 ! 和 人 人! 关于 更 多 的 路 由 功能 与 设 定 方 法 ， 我 们 在 
包 八 音 当 中 会 再 


J 




















次 的 提 及 了 呢 ! 
2.3.7 IP 与 MAC: 链 结 层 的 ARP 与 RARP 协定 


现在 我 们 知道 Internet 上 面 最 重要 的 就 是 那个 IP 了 ， 也 会 计算 所 谓 的 局 
域 网 络 





与 路 由 。 但是， 事实 上 用 在 传递 数据 的 明明 就 是 以 太 网 络 啊 ! 以 太 网 
络 主要 是 用 网 卡 


卡号 (MAC) 的 嘛 ! 这 就 有 问题 啦 ! 那 这 两 者 (IP 与 MAC) 势必 有 一 个 
关连 性 存在 吧 ? 


没 错 ! 那 就 是 我 们 要 谈 到 的 ARP (Address Resolution Protocol 网 络 地 址 
解析 ) 协 


议 ， 以 及 RARP (Revers ARP, 反问 网 络 地 址 解析 ) 


当 我 们 想 要 了 解 某 个 IP 其 实 是 设 定 于 某 张 以 太 网 络 卡 上 头 时 ， 我 们 的 
主机 会 对 整 

个 区 网 发 送出 ARP 封包 ， 对 方 收 到 ARP 封包 后 就 会 回 传 他 的 MAC 给 
我 们 ， 我 们 的 主 


机 就 会 知道 对 方 所 在 的 网 卡 ， 那 接 下 来 束 能 够 开始 传递 数据 哆 。 ”如果 
每 次 要 传送 都 得 
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要 重新 来 一 过 这 个 ARP 协定 那 不 是 很 烦 ? 因此 ， 当 使 用 ARP 协议 取得 
目标 卫 与 他 网 


卡 卡号 后 ， 就 会 将 该 笔记 录 写 入 我 们 主机 的 ARP table 中 (内 存 内 的 数 
据 ) 记录 20 








分 钟 ( 注 14)。 

例题 : 

如 何 取得 自己 本 机 的 网 卡 卡 号 (MAC) 
答 : 

在 Linux 环境 下 


[root@www ~]#ifconfig eth0 


eth0 Link encap:Ethernet HWaddr 00:01:03:43:E5:34 

inet addr:192.168.1.100 Bcast:192.168.1.255 

Mask:255.255.255.0 

inet6 addr: fe80::201:3ff:fe43:e534/64 Scope:Link 

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
在 Windows 环境 下 


C:\Documents and Settings\admin..> ipconfig /all 


Physical Address. . . . . ....:00-01-03-43-E5-34 


那 如 何 取得 本 机 的 ARP 表格 内 的 IP/MAC 对 应 数据 呢 ? 就 透 过 arp 这 个 
指令 吧 ! 


[root@www ~]# arp -[nd] hostname 

[root@www ~]# arp -s hostname(IP) Hardware_address 

选项 与 参数 : 

-0: 将 主机 名 以 IP 的 型 态 显 示 

-d : 将 hostname 的 hardware_address 由 ARP table 当中 删除 掉 
-Ss : 设 定 某 个 IP 或 hostname 的 MAC 到 ARP table 当中 
范例 一 : 列 出 目前 主机 上 面 记载 的 IP/MAC 对 应 的 ARP 表格 


[root@www ~]# arp -n 


Address HWtype HWaddress Flags Mask Iface 

192.168.1.100 ether 00:01:03:01:02:03 C eth0 

192.168.1.240 ether 00:01:03:01:DE:0A C eth0 

192.168.1.254 ether 00:01:03:55:74:AB C eth0 

范例 二 : 将 192.168.1.100 那 部 主机 的 网 卡 卡 号 直接 写 入 ARP 表格 中 
[root@www ~]# arp -s 192.168.1.100 01:00:2D:23:A1:0E 

# 这 个 指令 的 目的 在 建立 静态 ARP 
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必 


如 同上 面 提 到 的 ， 当 你 发 送 ARP 封包 取得 的 IP/MAC 对 应 ， 这 个 记录 
的 ARP table 是 


动态 的 信息 (一 般 保 留 20 分 钟 )， 他 会 随时 随 独 你 的 网 域 里 面 计 算 机 的 
IP 更 动 而 变 


化 ， 所 以 ， 即 使 你 常常 更 动 你 的 计算 机 IP， 不 要 担心 ， 因 为 ARP table 
会 目 动 的 重新 


对 应 IP 与 MAC 的 表格 内 容 ! 但 如 果 你 有 特殊 需求 的 话 ， 也 可 以 利用 
『 arp -s 」 这 


个 选项 来 定义 静态 的 ARP 对 应 喔 ! 
2.3.8 ICMP 协定 


ICMP 的 全 名 是 『 Internet Control Message Protocol, 因特网 讯息 控制 协 
议 」。 


基本 上 ，ICMP 是 一 个 错误 侦 测 与 回报 的 机 制 ， 节 大 的 功能 就 是 可 以 确 
保 我 们 网 络 的 联 


机 状态 与 联机 的 正确 性 ! ICMP 也 是 网 络 层 的 重要 封包 之 一 ， 不 过 ， 这 
个 封包 并 非 独 立 


存在 ， 而 是 纳入 到 IP 的 封包 中 ! 也 就 是 说 ， ICMP 同样 是 透 过 IP 封包 
来 进行 数据 传 


送 的 啦 ! 因为 在 Internet 上 面 有 传输 能 力 的 就 是 IP 封包 啊 ! ICMP 有 相 
当 多 的 类 别 


可 以 侦 测 与 回报 ， 底 下 是 比较 常见 的 几 个 ICMP 的 类 别 (Type): 
类 别 代号 

类 别名 称 与 意义 

0 

Echo Reply (代表 一 个 啊 应 信息 ) 


3 





Destination Unreachable (表示 目的 地 不 可 到 达 ) 
Source Quench ( 当 router 的 负载 过 高 时 ， 此 类 别 码 可 用 来 让 发 送 并 


4 








停止 发 送 讯 奶 ) 

5 

Redirect (用 来 重新 导 问 路 由 路 径 的 信息 ) 
8 


Echo Request (请 求 啊 应 消息 ) 


Time Exceeded for a Datagram ( 当 数 据 封 包 在 某 些 路 由 传送 的 现象 中 


11 
造成 逾 时 状态 ， 此 类 别 码 可 告知 来 源 该 封包 已 被 忽略 的 讯 奶 ) 
Parameter Problem on a Datagram ( 当 一 个 ICMP 封包 重复 之 前 的 错 
12 

误 时 ， 会 回复 来 源 主机 关于 参数 错误 的 讯息 ) 

Timestamp Request (要 求 对 方 送出 时 间 讯 息 ， 用 以 计算 路 由 时 间 的 差 
13 

异 ， 以 满足 同步 性 协议 的 要 求 ) 

14 

Timestamp Reply (此 讯 上 县 纯粹 是 啊 应 Timestamp Request 用 的 ) 


Information Request (在 RARP 协议 应 用 之 前 ， 此 讯 姑 是 用 来 在 开机 


15 
时 取得 网 络 信息 ) 
16 


Information Reply (用 以 啊 应 Infromation Request 讯 奶 ) 


17 








Address Mask Request (这 讯 县 是 用 来 查询 子 网 mask 设 定 信息 ) 
18 
Address Mask Reply ( 吗 应 子 网 mask 查询 讯 奶 的 ) 
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MAC 
的 去 旨 的 


ee ICMP 来 检验 网 络 的 状态 昵 ? 最 简单 的 指令 就 是 
ping = 


traceroute 了 ， 这 两 个 指令 可 以 透 过 ICMP 封包 的 辅助 来 确认 与 回报 网 
络 主机 的 状态 。 


在 设 定 防火 墙 的 时 候 ， 我 们 最 容易 忽略 的 就 是 这 个 ICMP 的 封包 了 ， 因 
为 只 会 记 住 


TCP/UDP 而 已 一 事实 上 ， ICMP 封包 可 以 帮助 联机 的 状态 回报 ， 除 了 
上 述 的 8 可 以 考 


虑 关闭 之 外 ， 基 本 上 ，ICMP 封包 也 不 应 该 全 部 都 挡 掉 喔 ! 
2.4TCP/P 的 传输 层 相 关 封 包 与 数据 


网 络 层 的 IP 封包 只 负责 将 数据 送 到 正确 的 目标 主机 去 ， 但 这 个 封包 到 
底 会 不 会 被 


接受 ， 或 者 是 有 没有 被 正确 的 接收 ， 那 就 不 是 IP 的 任务 啦 ! 那 是 传送 
层 的 任务 之 一 。 


从 -图 2.1-4 我 们 可 以 看 到 传送 层 有 了 两 个 章 友 ， 一 个 是 连接 导向 的 TCP 


村 包 ， 一 个 是 


非 连 接 导 向 的 UDP 封包 ， 这 两 个 封包 很 重要 啊 ! 资料 能 不 能 正确 的 被 
送 达 目 的 ， 与 这 








两 个 封包 有 关 喔 ! 
2.4.1 可 靠 联 机 的 TCP 协议 


在 前 面 的 OSI 七 层 协议 当中 ， 在 网 络 层 的 IP 之 上 则 是 传送 层 ， 而 传送 
层 的 数据 


打包 成 什么 ? 最 常见 的 就 是 TCP 封包 了 。 这 个 TCP 封包 数据 必须 要 能 
够 放 到 了 IP 的 


数据 袋 当中 才 行 喔 ! 所 以 ， 我 们 将 图 2.1-4 简化 一 下 , 将 MAC, IP 与 
TCP 的 封包 数 


据 这 样 看 : 
图 2.4-1、 各 封包 之 间 的 相关 性 


想当然 尔 ，TCP 也 有 表 头 数据 来 记录 该 封包 的 相关 信息 嘿 ? 没 错 啦 一 
TCP 封包 的 


表 头 是 长 这 个 样子 的 : 
4 bits 

6 bits 

6 bits 

8 bits 

8 bits 

Source Port 
Destination Port 
Sequence Number 


Acknowledge Number 


Data 

Reserved 

Code 

Window 
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Offset 

Checksum 

Urgent Pointer 

Options 

Padding 

Data 

图 2.4-2、TCP 封包 的 表 头 资料 
上 图 就 是 一 个 ”TCP 封包 的 表 头 数据 ， 各 个 项 目 以 ”Source Port, 


Destination Port 


及 Code 算是 比较 重要 的 项 目 ， 辰 下 我 们 就 分 别 来 谈 一 谈 各 个 表 头 数据 
的 内 容 吧 ! 


Source Port & Destination Port (来 源 端口 口 & 目标 端口 口 ) 


什么 是 井口 (port)? 我 们 知道 IP 封包 的 传送 主要 是 大 由 IP 地 址 连接 两 


» 


贡 ， 


但 是 到 底 这 个 联机 的 通道 是 连接 到 哪里 去 呢 ? 没 错 ! 就 是 连接 到 port 上 
头 啦 ! 


举例 来 说 ， 鸟 哥 的 网 站 有 开放 WWW 服务 器 ， 这 表示 鸟 站 的 主机 必须 


要 局 动 下 


可 以 让 client 端 连接 的 端口 ， 这 个 并口 束 是 port (中 文 翻译 成 为 埋 口 )。 
同样 


的 ， 客 户 端 想 要 连接 到 乌 哥 的 鸟 站 时 ， 束 必须 要 在 client 主机 上 面 启动 
个 


| 





es 这 样 这 两 个 主机 才能 够 利用 这 条 『 通 道 」 来 传递 封包 数据 喔 ! 这 
上 目标 


与 来 源 port 的 纪录 ， 可 以 说 是 TCP 封包 上 最 重要 的 参数 了 ! 
Sequence Number (封包 序号 ) 


由 于 TCP 封包 必须 要 融入 IP 封包 当中 ， 所 以 如 果 TCP 数据 太 大 时 (大 
于 IP 


封包 的 容许 程度 )， 就 得 要 进行 分 段 。 这 个 Sequence Number 就 是 记录 
每 个 封 


包 的 序号 ， 可 以 让 收受 端 重新 将 TCP 的 数据 组 合 起 来 。 

Acknowledge Number (回应 序号 ) 
为 了 确认 主机 端 确实 有 收 到 我 们 client 端 所 送出 的 封包 数据 ， 我 们 client 
端 
当然 希望 能 够 收 到 主机 方面 的 啊 应 ， 那 耽 是 这 个 Acknowledge Number 
的 用 途 了 。 


当 client 端 收 到 这 个 确认 码 时 ， 就 能 名 确定 之 前 传 半 的 封包 已 经 补 正确 
4 收 下 


可 地 
Data Offset (资料 补偿 ) 


在 图 2.4-2 倒数 第 二 行 有 个 Options 字段 对 吧 ! 那个 Options 的 字段 长 度 


日 
XE 


非 固定 的 ， 而 为 了 要 确认 整个 TCP 封包 的 大 小 ， 就 需要 这 个 标志 来 说 


明 整 个 封 
包 区 段 的 起 始 位 置 。 
Reserved (保留 ) 
未 使 用 的 保留 字段 。 
Code (Control Flag, 控制 标志 码 ) 


ee 必须 要 说 明 这 个 联机 的 状态 ， 好 让 接收 
端 了 解 这 


个 封包 内 主要 动作 。 这 可 是 一 个 非常 重要 的 句柄 喔 ! 这 个 字段 共有 6 
bits ， 


分 别 代表 6 个 句柄 ， 夺 为 1 则 为 局 动 。 分 别 说 明 如 下 : 
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0 URG(Urgent): 若 为 1 则 代表 该 封包 为 紧急 封包 ， 接收 端 应 该 要 紧 

急 处 理 ， 且 图 2.4-1 当中 的 Urgent Pointer 字段 也 会 被 启用 。 

0 ACK(Acknowledge): 若 为 1 代表 这 个 封包 为 响应 封包 ， 则 与 上 面 提 
到 的 Acknowledge Number 有 关 。 

o PSH(Push function): 若 为 1 时 ， 代 表 要 求 对 方 立 即 传送 缓冲 区 内 

的 其 他 对 应 封包 ， 而 无 须 等 待 缓冲 区 满 了 才 送 。 

0 RST(Reset): 如 果 RST 为 1 的 时 候 ， 表 示 联 机 会 被 马上 结束 ， 而 无 
需 等 待 终止 确认 手续 。 这 也 就 是 说 ， ”这 是 个 强制 结束 的 联机 ， 且 发 送 


并 








己 断 线 。 

0 SYN(Synchronous): 知 为 1， 表示 发 送 端 希 望 双 方 建立 同步 处 理 ， 也 
就 是 要 求 建立 联机 。 通 常 带 有 SYN 标志 的 封包 表示 『 主 动 」 要 连接 到 
对 








方 的 意思 。 

0 FIN(Finish): 若 为 1 ， 表 示 传 送 结 束 ， 所 以 通知 对 方 数据 传 毕 ， 是 

否 同意 断 线 ， 只 是 发 送 者 还 在 等 待 对 方 的 响应 而 已 。 
0 不 过 我 们 这 里 仅 对 ACK/SYN 有 兴趣 而 已 ， 这 





0 你 才 会 比较 清楚 为 喻 每 个 TCP 封包 都 有 所 谓 
| \ 态 ] 


人 底下 我 们 会 进一步 讨论 喔 ! 
至 








他 的 数据 ， 就 得 请 您 自行 查询 网 络 相关 书籍 了 ! 
Window (滑动 窗口 ) 
主要 是 用 来 控制 封包 的 流量 的 ， 可 以 告知 对 方 目前 本 喘 有 的 绥 冲 器 容量 


(Receive 


Buffer) 还 可 以 接收 封包 。 当 Window=0 时 ， 代 表 缓冲 器 已 经 额 满 ， 所 以 


应 该 要 
暂停 传输 数据 。 Window 的 单位 是 byte。 
Checksum( 人 确认 检查 码 ) 


当 数 据 要 由 发 送 端 送 出 前 ， 会 进行 一 个 检验 的 动作 ， 并 将 该 动作 的 检验 
值 标注 在 





这 个 学 由 二 而 接收 者 收 到 这 个 封包 之 后 ， 会 再 次 的 对 封包 进行 验 
证 ， 并 且 比 


对 原 发 送 的 Checksum 值 是 否 相 符 ， 如 果 相 符 就 接受 ， 知 不 符 就 会 假设 
该 封包 已 


经 损毁 ， 进 而 要 求 对 方 重新 发 送 此 封包 ! 
Urgent Pointer( 紧 急 资料 ) 


这 个 字段 是 在 Code 字段 内 的 URG = 1 时 才 会 产生 作用 。 可 以 告知 紧急 
数据 所 


在 的 位 置 。 
Options( 任 意 资 料 ) 


目前 此 字段 仅 应 用 于 表示 接收 闫 可 以 接收 的 最 大 数据 区 段 容量 ， 各 此 字 
段 不 使 用 ， 


表示 可 以 使 用 任意 数据 区 段 的 大 小 。 这 个 字段 较 少 使 用 。 
Padding( 补 足 字 段 ) 

如 同 IP 封包 需要 有 固定 的 32bits 表 头 一 样 ， Options 由 于 字段 为 非 固 

定 ， 











由 











所 以 也 需要 Padding 字段 来 加 以 补 齐 才 行 。 同 样 也 是 32 bits 的 整数 。 
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a 表 头 数据 后 ， 再 来 让 我 们 了 解 一 下 这 个 表 头 里 面 最 重要 的 
端口 口 信息 


吧 ! 


通讯 端口 口 


TCP 表 头 数据 中 ， 最 重要 的 就 属 那 16 位 的 两 个 噬 噬 ， 亦 即 来 
源 与 目标 


的 端口 口 。 由 于 是 16 位 ， 因 此 目标 与 来 源 端口 口 最 大 可 达 65535 号 (2 
的 16 次 方 )! 


那 这 个 坦 口 有 什么 用 途 呢 ? 上 面 稍 微 提 到 过 ， 网 络 是 双 癌 的 ， 服 务 器 与 
客户 端 要 达成 联 


机 的 话 ， ”两 边 应 该 要 有 一 个 对 应 的 塌 口 来 达成 联机 信道 ， 好 让 数据 可 
以 透 过 这 个 信道 


来 进行 沟通 。 


那么 这 个 塌 口 怎么 打开 呢 ?” 束 是 透 过 程序 的 执行 ! 举例 来 说， 乌 哥 的 网 
站 上 ， 必 须 


要 启动 一 个 WWW 服务 器 软件 ， 这 个 服务 器 软件 会 主动 的 唤起 port 80 
来 等 待 客户 端 


的 联机 。 你 想 要 看 我 网 站 上 的 数据 ， 就 得 要 利用 浏览 器 ，“ 填 入 网 址 ， 
然后 浏览 器 也 会 


局 动 一 个 埋 口 ， 并 将 TCP 的 表 头 填写 目标 端口 口 为 80 ， 而 来 源 端口 口 
是 你 主机 随机 


局 动 的 一 个 塌 口 ， 然后 将 TCP 封包 封装 到 了 后 ， 送 出 到 网 络 上 。 等 乌 
站 主机 接收 到 


你 这 个 封包 后 ， 再 依据 你 的 埋 口 给 予 回应 。 


这 么 说 你 或 许 不 好 理解 ， 我 们 换个 说 法 好 了 。 假 如 IP 是 网 络 世界 的 门 
牌 ， 那 么 这 























个 塌 口 束 是 那个 门牌 号 码 上 建筑 物 的 楼 层 ! ”每 个 建筑 物 都 有 1~65535 
层 楼 ， 你 需要 什 


么 网 络 服务 ， 束 得 要 去 该 对 应 的 楼 层 取 得 正确 的 资料 。 但 那个 楼 层 里 面 
有 没有 人 在 服务 


2 这 束 得 要 看 有 没有 程序 真 的 在 执行 啦 。 所 以 ，IP 是 门 脾 ，TCP 


供 服 务 的 ， 是 在 该 楼 层 的 那个 人 (程序 )! 

















Tips: 
曾经 有 一 个 朋友 问 过 我 说 : 『[ 一 部 主机 上 面 这 么 多 服务 ， 那 我 们 跟 

这 部 主机 进行 联机 时 ， 该 主机 怎么 知道 我 们 要 的 数据 是 WWW 还 是 
FTP 啊 ?」 就 是 透 过 塌 口 啊 ! 因为 每 种 Client 软件 他 们 所 需要 的 
数据 都 不 相同 ， 例 如 上 面 提 到 的 浏览 器 所 需要 的 数据 是 WWW ， 所 以 
该 软件 默认 就 会 向 服务 器 的 port 80 索 求 数据 ， 而 如 果 你 是 使 用 
filezilla 来 进行 与 服务 器 的 FTP 数据 索 求 时 ， filezilla 当然 

预 设 就 是 向 服务 器 的 FTP 相关 埠 口 ( 预 设 就 是 port 21) 进行 连 

接 的 动作 啦 ! 所 以 当然 就 可 以 正确 无 误 的 取得 Client 端 所 需要 的 
数据 了 

再 举 个 例子 来 说 ， 一 部 主机 就 好 像 是 一 间 多 功能 银行 ， 该 银行 内 的 
每 个 负责 不 同业 务 的 窗口 就 好 像 是 通讯 问 口 口 ， 而 我 们 民众 就 好 像 
是 Client 端 来 的 封包 。 当 你 进入 银行 想 要 缴纳 信用 卡 账 单 时 ， 一 

到 门口 服务 人 员 就 会 指示 你 直接 到 该 窗口 去 缴纳 ， 当 然 ， 如 果 你 是 


























要 领 钱 ， 服 务 人 员 就 会 请 你 到 领 钱 的 窗口 去 填写 数据 ， 你 是 不 会 跑 
错 的 对 吧 ! 和 人 ^。 万 一 跑 错 了 怎么 办 ? 呵呵 ! 当然 该 窗口 就 会 告诉 
你 『 我 不 负责 这 个 业务 ， 你 请 回去 ! 」， 了 呵呵 ! 所 以 该 次 的 联机 就 
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会 『 无 法 成 功 」 咯 ! 


特权 坦 口 (Privileged Ports) 


你 现在 了 解 了 埋 口 的 意义 后 ， 再 来 想 想 ， 网 络 既 然 是 双向 的 ， 一 定 有 一 
个 发 起 新。 


问题 是 ， 到 底 要 联机 到 服务 器 取得 啥 玩 意 儿 ? ”也 就 是 说 ， 哪 支 程序 应 
该 在 哪个 端口 口 


执行 ， 以 让 大 家 都 知道 该 捍 口 就 是 提供 哪个 服务 ， 如 此 一 来 ， 才 不 会 造 
成 广大 用 户 的 困 

扰 嘛 ! 所 以 哆 ，Internet 上 面 已 经 有 很 多 规范 好 的 固定 port (well-known 
port)， 这 


些 port number 通常 小 于 1024 ， 且 是 提供 给 许多 知名 的 网 络 服务 软件 用 
的 。 在 我 们 


的 Linux 环境 下 ， 各 网 络 服务 与 port number 的 对 应 默认 给 他 写 在 


/etc/services 

档案 内 喔 ! 底下 马 哥 列 出 几 个 常见 的 port number 与 网 络 服 务 的 对 应 : 
端口 口 

服务 名 称 与 内 容 


20 








FTP-data， 文 件 传输 协议 所 使 用 的 主动 数据 传输 端口 口 
21 


FTP， 文 件 传输 协议 的 命令 通道 


2 

SSH， 较 为 安全 的 远程 联机 服务 器 
23 

Telnet， 早 期 的 远程 联机 服务 占 软 件 
25 


SMTP， 人 简单 邮件 传递 协议 ， 用 在 作为 mail server 的 井口 
53 
DNS， 用 在 作为 名 称 解析 的 领域 名 服务 器 


80 
WWW， 这 个 重要 吧 ! 就 是 全 球 信 息 网 服务 器 
110 


POP3， 邮 件 收 信 协 议 ， 办 公 室 用 的 收 信 软 件 都 是 透 过 他 
443 
https， 有 安全 加 密 机 制 的 WWW 服务 器 


另外 一 点 比较 值得 注意 的 是 ， 小 于 1024 以 下 的 井口 要 启动 时 ， 启动 者 
的 号 份 必 


须要 是 root 才 行 ， 所 以 才 叫 做 特权 埋 口 嘛 ! 这 个 限制 挺 重 要 的 ， 大 家 不 
雪 忆 由 虹 | 








不 过 如 果 是 client 端的 话 ， 由 于 client 端 都 是 主动 向 server 端 要 数据 ， 
所 以 


client 问 的 port number 就 使 用 随机 取 一 个 大 于 1024 以 上 且 没 有 在 用 的 
port 


number。 


Socket Pair 


由 于 网 络 是 双 癌 的 ， 要 达成 联机 的 话 得 要 服务 器 与 客户 端 均 提 供 了 了 IP 
与 埋 口 才 行 。 


因此 ， 我 们 第 第 将 这 个 成 对 的 数据 称 之 为 Socket Pair 了 ! 
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用 户 端 机 端 
= 动 发 适 连 综 要 求 接收 鳞 回 许 





时 间 体 近 
来 源 IP + 来 源 塌 口 (Source Address + Source Port) 


目的 P+ 目的 井口 (Destination Address + Destination Port) 





由 于 IP 与 塌 口 常常 连 在 一 起 说 明 ， 因 此 网 络 寻 址 常常 使 用 『 IP:port | 
来 说 明 ， 


例如 想 要 连 上 鸟 哥 的 网 站 时 ， 正确 的 鸟 哥 网 站 写法 应 该 是 : 

『 linux.vbird.org:80 | 

才 对 ! 

2.4.2 TCP 的 三 问 交 握 

TCP 被 称 为 可 靠 的 联机 封包 ， 主 要 是 透 过 许多 机 制 来 达成 的 ， 其 中 最 重 
向 交 握 的 功能 。 当然 ， TCP 传送 数据 的 机 制 非常 复杂 ， 有 兴趣 的 朋友 
请 自行 参考 相关 


网 络 书籍 。OK， 那 么 如 何 藉 由 TCP 的 表 头 来 确认 这 个 封包 有 实际 被 对 
方 接收 ， 并 进 一 


步 与 对 方 主机 达成 联机 ? 我 们 以 底下 的 图 示 来 作为 说 明 。 
图 2.4-3、 三 问 交 握 之 封包 连接 模式 


ee 在 建立 联机 之 前 都 必须 要 通过 三 个 确认 的 
动作 ， 


以 这 种 联机 方式 也 就 被 称 为 三 癌 交 握 (Three-way handshake)。 那么 我 们 


将 整个 流程 依 
据 上 面 的 A, B, C,D 四 个 阶段 来 说 明 一 下 : 
A: 封 包 发 起 


当 客户 端 想 要 对 服务 器 端 联机 时 ， 就 必须 要 送出 一 个 要 求 联机 的 封包 ， 
此 时 客户 


端 必 须 随 机 取 用 一 个 大 于 1024 以 上 的 端口 口 来 做 为 程序 沟通 的 接口 。 
然后 在 





TCP 的 表 头 当中 ， 必 须要 带 有 SYN 的 主动 联机 (SYN=1)， 并 且 记 下 发 
送出 联机 封 


包 给 服务 器 端的 序号 (Sequence number = 10001) 。 
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B: 封 包 接 收 与 确认 封包 传送 


当 服 务 器 接 到 这 个 封包 ， 并 且 确 定 要 接收 这 个 封包 后 ， 就 会 开始 制作 一 
个 同时 带 


有 SYN=1, ACK=1 的 封包 ， 其 中 那个 acknowledge 的 号 人 码 是 要 给 client 
端 确 


认 用 的 ， 所 以 该 数字 会 比 (A 步骤 ) 里 面 的 Sequence 号 码 多 一 号 (ack = 
10001+1 


0 那 我 们 服务 器 也 必须 要 确认 客户 端 确 实 可 以 接收 我 们 的 封包 
行 ， 


所 以 也 会 发 送出 一 个 Sequence (seq=20001) 给 客户 端 ， 并 且 开 始 等 待 客 
户 端 给 


我 们 服务 器 问 的 回应 喔 ! 
C: 回 送 确认 封包 
当 客 户 端 收 到 来 目 服务 器 端的 ACK 数字 后 (10002) 就 能 够 确认 之 前 那 


个 要 求 


接 下 来 如 果 客 户 端 也 同意 与 服务 器 端 建立 联机 
时 ， 了 吏 会 


再 次 的 发 送 一 个 确认 封包 (ACK=1) 给 服务 器 ， 亦 即 是 acknowledge = 
20001+1 = 


20002 嘿 。 
D: 取 得 最 后 确认 


一 切 都 顺利 ， 在 服务 器 端 收 到 带 有 ACK=1 且 ack=20002 序号 的 封包 
人 就 能 


够 建立 起 这 次 的 联机 了 。 


也 就 是 说， 你 必须 要 了 解 『 网 络 是 双 辐 的 」 这 个 事实 ! 所 以 不 论 是 服 
务 需 端 还 是 


客户 端 ， 都 必须 要 透 过 一 次 SYN 与 ACK 来 建立 联机 ， 所 以 总 共 会 进行 
三 次 的 交谈 ! 在 


设 定 防火 墙 或 者 是 追踪 网 络 联机 的 问题 时 ， 这 个 『 双 向 」 的 概念 最 容易 
被 忽略 ， 而 和 常 


第 导致 无 法 联机 成 功 的 问题 啊 ! 切记 切记 ! 

Tips: 

乌 可 上课 谈 到 TCP 最 涡 做 的 事 就 是 ， 叫 一 个 同学 起 来 ， 实 际 表演 三 
问 交 握 给 大 家 看 ! 

1. 乌 哥 说 : A 同学 你 在 不 在 ? 

2. A 同学 说 : 我 在 ! 那 乌 哥 你 在 不 在 ? 

3. 鸟 哥 说 : 我 也 在 

此 时 两 个 人 就 确认 彼此 都 可 以 听 到 对 方 在 讲 啥 ， 这 束 是 可 靠 联机 啦 ! 








和 人 和 


2.4.3 非 连 接 导 同 的 UDP 协议 


UDP 的 全 名 是 : 『User Datagram Protocol, 用 户 数 据 流 协 议 ] ，UDP 与 
TCP 不 


一 样 ， UDP 不 提供 可 靠 的 传输 模式 ， 因 为 他 不 是 面向 连接 的 一 个 机 
制 ， 这 是 因为 在 UDP 


的 传送 过 程 中 ， 接 受 端 在 接受 到 封包 之 后 ， 不 会 回复 啊 应 封包 (ACK) 
给 发 送 疾 ， 所 以 


封包 并 没有 像 TCP 封包 有 较为 严密 的 检查 机 制 。 至 于 UDP 的 表 头 资料 
如 下 表 所 示 : 


16 bits 





16 bits 

Source Port 
Destination Port 
Message Length 
Checksum 
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图 2.4-4、UDP 封包 的 表 头 资料 


TCP 封包 确实 是 比较 可 靠 的 ， 因 为 通过 三 回 交 握 嘛 ! 不 过 ， 也 由 于 三 辐 
交 握 的 缘故 ， 


TCP 封包 的 传输 速度 会 较 慢 。 至 于 UDP 封包 由 于 不 需要 确认 对 方 是 否 
有 正确 的 收 到 数 


据 ， 故 表 头 数据 较 少 ， 所 以 UDP 就 可 以 在 Data 处 填 入 更 多 的 数据 了 。 
同时 UDP 比较 


适合 需要 实时 反应 的 一 些 数 据 流 ， 例 如 影像 实时 传送 软件 等 ， ”就 可 以 
使 用 这 类 的 封包 


传送 。 也 就 是 说 ， UDP 传输 协议 并 不 考虑 联机 要 求 、 联 机 终止 与 流量 
控制 等 特性 ， 所 


以 使 用 的 时 机 是 当 数 据 的 正确 性 不 很 重要 的 情况 ， 例 如 网 络 摄影 机 ! 


另外 ， 很 多 的 软件 其 实 是 同时 提供 TCP 与 UDP 的 传输 协议 的 ， 举 例 来 
说 ， 碍 询 主 


机 名 的 DNS 服务 就 同时 提供 了 UDP/TCP 协议 。 由 于 UDP 较为 快速 ， 
所 以 我 们 client 


端 可 以 先 使 用 UDP 来 与 服务 器 联机 。 但 是 当 使 用 UDP 联机 却 还 是 无 
法 取得 正确 的 数 


据 时 ， 便 转换 为 较为 可 菲 的 TCP 传输 协议 来 进行 数据 的 传输 哆 。 这 样 
可 以 同时 兼顾 快 


速 与 可 徘 的 传输 说 ! 








Tips: 
那么 上 课时 怎么 介绍 UDP 呢 ? 很 简单 喔 ! 鸟 哥 就 会 说 : 『 现 在 老师 
就 是 在 进行 UDP 的 传送 ， 因 为 老师 一 直 讲 一 直 讲 ， 俺 也 没有 注意 








到 你 有 没有 上 听 到 ， 也 不 需要 等 待 你 的 啊 应 封包 ! 就 这 样 一 直 讲 ! 当 
然 ， 你 没有 听 到 鸟 哥 讲 啥 ， 我 也 不 会 知道 …] 
2.4.4 网 络 防 火 墙 与 OSI 七 层 协议 


由 上 面 的 次 明 当 中 ， 我 们 知道 数据 的 传送 其 实 束 是 封包 的 发 出 与 接受 的 
动作 啦 ! 并 


且 不 同 的 封包 上 面 都 有 不 一 样 的 表 头 (headeD， 此 外 ， 封 包 上 面 通 芝 都 
会 具有 四 个 基 


本 的 信息 ， 那 就 是 socket pair 里 面 提 到 的 来源 与 目的 IP 以 及 来 源 与 
目的 端的 


port number」  。 当 然 啦 ， 如 果 是 可 靠 性 联机 的 TCP 封包 ， 还 包含 
Control Flag 里 


面 的 SYN/ACK 等 等 重要 的 信息 呢 ! 好 了 ， 开 始 动 一 动脑 筋 ， 有 没有 想 
到 『 网 络 防火 墙 ] 


的 字眼 啊 ? 


封包 过 滤 式 的 网 络 防火 墙 可 以 抵挡 挥 一 些 可 能 有 问题 的 封包 ， Linux 系 
统 上 面 是 


怎么 挡 掉 封包 的 呢 ? 其 实说 来 也 是 很 简单 ， 既 然 封 包 的 表 头 上 面 已 经 有 
这 么 多 的 重要 信 


恩 ， ”那么 我 束 利 用 一 些 防 火 墙 机 制 与 软件 来 进行 封包 表 头 的 分 析 ， 并 
且 设 定 分 析 的 规 


则 ， 当 发 现 某 些 特定 的 IP 、 特 定 的 塌 口 或 者 是 特定 的 封包 信息 
(SYN/ACK 等 等 )， 那 么 


了 驶 将 该 封包 给 他 丢弃 ， 那 陨 是 最 基本 的 防火 墙 原理 了 ! 
举例 来 说 ， 大 家 都 知道 Telnet 这 个 服务 器 是 挺 危 险 的 ， 而 Telnet 使 用 的 


port 











number 为 23 ， 所 以 ， 当 我 们 使 用 软件 去 分 析 要 送 进 我 们 主机 的 封包 


时 ， 只 要 发 现 该 


封包 的 目的 地 是 我 们 主机 的 port 23 ， 就 将 该 封包 丢掉 去 ! 那 就 是 最 基 
本 的 防火 增 案 


例 啦 ! 如 果 以 OSI 七 层 协议 来 说， 每 一 层 可 以 抵挡 的 数据 有 : 
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名 
第 二 层 : 可 以 针对 来 源 与 目标 的 MAC 进行 抵挡 ; 


本 主要 针对 来 源 与 目标 的 IP ， 以 及 ICMP 的 类 别 (type) 进行 


第 四 层 : 针对 TCP/UDP 的 埋 口 进行 抵挡 ， 也 可 以 针对 TCP 的 状态 
(code) 


来 处 理 。 





说 明 喔 ! 
2.5 连 上 Internet 前 的 准备 事项 


讲 了 这 么 多 ， 其 实 我 们 最 需要 的 仅 是 『 连 接 上 Internet 」 啦 ! 那么 在 
Internet 上 


面 其 实 使 用 的 是 TCP/IP 这 个 通讯 协议 ， 所 以 我 们 就 需要 Public IP 来 连 
接 上 


Internet 啊 ! 你 说 对 吧 一 不 过 ， 你 有 没有 发 现 一 件 事 ， 那 束 是 『 为 喻 我 
不 知道 Yahoo 


的 主机 IP ， 但 是 俺 的 主机 却 可 以 连 到 Yahoo 主机 上 ? 」 如 果 你 有 发 现 
这 个 问题 的 话 ， 


哈哈 ! 你 可 以 准备 开始 设 定 网 络 喝 一 人 人 
2.5.1 用 IP 上网? 主机 名 上 网 ”DNS 系统 ? 


讲 完 了 上 头 的 基本 数据 ， 现 在 你 知道 要 连 上 Internet 就 得 要 有 TCP/IP 才 
行 ! 尤 





其 是 那 重 要 的 IP 啊 ! 问题 是 ， 计算机 网 络 是 依据 人 类 的 需要 来 建立 
的 ， 不 过 人 类 对 


于 IP 这 一 类 的 数字 并 不 具有 敏感 性 ， 即 使 IP 己 经 被 简化 为 十 进 制 了 ， 
但 是 人 类 就 是 

对 数字 没有 办 法 啊 ! 怎么 办 ? 没关系 ， 反 正 计 算 机 都 有 主机 名 嘛 ! 那 
么 我 融 将 主机 多 

与 他 的 IP 对 应 起 来 ， 未 来 要 连接 上 该 计算 机 时 ， 只 要 知道 该 计算 机 的 
主机 名 就 好 了 ， 

因为 ”IP 已经 对 应 到 主机 名 了 嘛 ! 所 以 人 类 也 容易 记忆 文字 类 的 主机 
名 ， 计 算 机 也 可 以 

厌 由 对 应 来 找到 他 必须 要 知道 的 耳 ， 啊 ! 真是 皆大欢喜 啊 ! 


这 个 主机 名 (Hostname) 对 应 IP 的 系统 ， 就 是 易 易 有 名 的 Domain Name 
System 

(DNS) 咯 ! 也 就 是 说 ， DNS 这 个 服务 的 最 大 功能 就 是 在 进行 『 主 机 名 
与 该 主机 的 I 了 P 的 


对 应 」 的 一 项 协议 。 DNS 在 网 络 环境 当中 是 相当 常 被 使 用 到 的 一 项 协 
议 喔 ! 举 个 例子 


来 说 ， 像 岛 哥 我 常常 会 连 到 奇摩 雅虎 的 WWW 网 站 去 看 最 新 的 新 闻 ， 
那么 我 一 定 需要 将 























奇摩 雅虎 的 WWW 网 站 的 IP 背 下 来 吗 ? 天 响 ， 乌 哥 的 筷 性 这 么 好 ， 怎 
么 可 能 将 人 P 背 


下 来 ? ! 不 过 ， 如 果 是 要 将 奇摩 站 的 主机 名 背 下 来 的 话 ，“ 那 就 容易 的 
多 了 ! 不 就 是 


http://tw.yahoo.com 吗 ? 而 既然 计算 机 主机 只 认识 IP 而 已 ， 因此 当 我 在 
浏览 右上 


面 输 入 了 _ Thttp:/tw.yahoo.comj 的 时 后 ， 我 的 计算 机 首先 就 会 类 由 辐 
DNS 主机 查询 


tw.yahoo.com 的 IP 后 ， 再 将 查询 到 的 IP 结果 回应 给 我 的 浏览 器 ， 那么 
我 的 浏览 器 


就 可 以 夭 由 该 卫 来 连接 上 主机 啦 ! 


发 现 了 吗 ? 我 的 计算 机 必须 要 向 DNS 服务 器 查询 Hostname 对 应 IP 的 
信息 喔 ! 


那么 那 部 DNS 主机 的 IP 就 必须 要 在 我 的 计算 机 里 面 设 定好 才 行 ， 并 且 


必须 要 是 输入 
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IP 喔 ， 不 然 我 的 计算 机 怎么 连 到 DNS 服务 器 去 要 求 数据 呢 ? 呵 呵 ! 在 
Linux 里 面 ， 





DNS 主机 IP 的 设 定 就 是 在 /etc/resolv.conf 这 个 档案 里 面 啦 ! 


目前 各 大 ISP 都 有 提供 他 们 的 DNS 服务 器 的 IP 给 他 们 的 用 户 ， 好 设 定 
sad 


计算 机 的 DNS 查询 主机 ， 不 过 ， 如 果 你 起 记 了 或 者 是 你 使 用 的 环境 中 
并 没有 提供 DNS 


主机 呢 ? 呵呵 ! 没有 关系 ， 那 就 设 定 Hinet 那个 最 大 的 DNS 服务 器 


吧 ! IP 是 


168.95.1.1 咯 ! 要 设 定好 DNS 之 后 ， 未 来 上 网 浏览 时 ， 才 能 使 用 主机 名 
喔 ! 不 然 就 得 


一 定 需要 使 用 IP 才能 上 网 呢 ! DNS 是 很 重要 的 ， 他 的 原理 也 项 复杂 
的 ， 更 详细 的 原理 








2.5.2 一 组 可 以 连 上 Internet 的 必要 网 络 参 数 


从 上 面 的 所 有 说 明 当 中 ， 我 们 知道 一 部 主机 要 能 够 使 用 网 络 ， 必 须要 有 
IP ， 而 卫 


的 设 定 当中 ， 就 必须 要 有 IP，Network，Broadcast，Netmask 等 参数 ， 此 
外 ， 还 需要 


考虑 到 路 由 里 面 的 Default Gateway 才能 够 正确 的 将 非 同 网 域 的 封包 给 
他 传送 出 去 。 


另外 ， 考 虑 到 主机 名 与 IP 的 对 应 ， 所 以 你 还 必须 要 给 予 系统 一 个 DNS 
服务 器 的 卫 才 


行 一 所 以 次 ， 一 组 合理 的 网 络 设 定 需 要 哪些 数据 呢 ? 呵呵 ! 就 是 : 


IP 





Netmask 
Network 
Broadcast 
Gateway 


DNS 


其 中 ， 由 于 Network 与 Broadcast 可 以 经 由 IP/Netmask 的 计算 而 得 到 ， 
因此 需 


要 设 定 于 你 PC 端的 网 络 参数 ， 主要 束 是 IP, Netmask, Default Gateway， 
DNS 这 四 


个 束 是 了 ! 


没 错 ! 束 是 这 些 数据 ! 如 果 你 是 使 用 ADSL 拨 接 来 上 网 的 话 ， 上 面 这 些 
数据 都 是 由 


ISP 直接 给 你 的 ， 那 你 只 要 使 用 拨 接 程序 进行 拨 接 到 ISP 的 工作 之 后 ， 
这 些 数据 就 目 


动 的 在 你 的 主机 上 面 设 定 完成 了 ! 但 是 如 有 果 是 固定 制 (如 学 术 网 络 ) 的 
话 ， 那 么 就 得 目 


行使 用 上 面 的 参数 来 设 定 你 的 主机 哆 ! 缺 一 不 可 有 呢 ! 以 ”192.168.1.0/24 
这 个 Class C 


为 例 的 话 ， 那 么 你 束 必 须要 在 你 的 主机 上 面 设 定好 抵 下 的 参数 : 


IP: 由 192.168.1.1~192.168.1.254 











Netmask: 255.255.255.0 

Network: 192.168.1.0 

Broadcast: 192.168.1.255 

Gateway: 每 个 环境 都 不 同 ， 请 自行 询问 网 络 管理 员 


DNS: 也 可 以 直接 设 定 成 168.95.1.1 
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2.6 重点 回顾 : 


里 然 目前 的 网 络 媒体 多 以 以 太 网 络 为 标准 ， 但 网 络 媒体 不 只 有 以 太 网 
络 而 已 ; 


Internet 主要 是 由 Internet Network Information Center (INTERNIC) 所 
维护 ; 
以 太 网 络 的 RJ-45 网 络 线 ， 由 于 568A/568B 接头 的 不 同 而 又 分 为 并 行 
与 


跳 线 ; 
以 太 网 络 上 最 重要 的 传输 数据 为 Carrier Sence Multiple Access with 


Collision Detect (CSMA/CD) 技术 ， 至 于 传输 过 程 当中 ， 最 重要 的 MAC 
讯 框 


内 以 人 硬件 地 址 (hardware address) 数据 最 为 重要 ; 


透 过 八 蕉 的 网 络 线 (Cat 5 以 上 等 级 )， 现 在 的 以 太 网 络 可 以 文 持 全 双 
工 模 


es 


OSI 七 层 协 议 为 一 个 网 络 模 型 (model) ， 并 非 硬性 规定 。 这 七 层 协议 
可 以 


0 且 每 一 分 层 各 目 独 立 ， 方 便 使 用 








现今 的 网 络 基 础 是 架构 在 TCP/IP 这 个 通讯 协议 上 面 ; 


数据 链 结 层 里 重要 的 信息 为 MAC (Media Access Control)， 亦 可 称 为 
硬件 


地 址 ， 而 ARP Table 可 以 用 来 对 应 MAC 与 软件 地 址 (IP ) ; 
在 网 络 媒体 方面 ， Hub 为 共享 媒体 ， 因 此 可 能 会 有 封包 们 撞 的 问 
全 手 





题 ， 


Switch 由 于 加 入 了 switch port 与 MAC 的 对 应 ， 因 此 已 经 克服 了 封包 碰 
撞 的 


问题 ， 也 就 是 说 ，Switch 并 不 是 共享 媒体 ; 


IP 为 32 bits 所 组 成 的 ， 为 了 适应 人 类 的 记忆 ， 因 此 转 成 四 组 十 进 制 
的 数据 ; 


IP 主要 分 为 Net ID 与 Host ID 两 部 份 ， 加 上 Netmask 这 个 参数 后 ， 可 
以 设 定 『 网 域 」 的 概念 ; 
根据 IP 网 域 的 大 小 ， 可 将 卫 的 等 级 分 为 A, B,C 三 种 常见 的 等 级 ; 


Loopback 这 个 网 段 在 127.0.0.0/8 ， 用 在 每 个 操作 系统 内 部 的 循环 测 
试 中 


网 域 可 继续 分 成 更 小 的 网 域 (subnetwork)， 主 要 是 透 过 将 Host_ID 借 
位 成 


为 Net_ID 的 技术 ; 
IP 只 有 两 种 ， 就 是 Public IP 与 Private IP ， 中 文 应 该 翻译 为 公共 IP 
与 私有 (或 保留 )IP， 私 有 IP 与 私有 路 由 不 可 以 直接 连接 到 Internet 上 ; 


每 一 部 主机 都 有 目 己 的 路 由 表 ， 这 个 路 由 表 规 定 了 封包 的 传送 途径 ， 
在 路 由 


表 当 中 ， 最 重要 者 为 默认 的 通讯 闻 ( Gateway/Router ); 


TCP 协议 的 表 头 数据 当中 ， 那 个 Code (control flags) 所 带 有 的 ACK， 
SYN, 


FIN 等 为 常见 的 旗 标 ， 可 以 控制 封包 的 联机 成 功 与 否 ; 
TCP 与 IP 的 IP address/Port 可 以 组 成 一 对 socket pair 
网 络 联机 都 是 双 同 的 ， 在 TCP 的 联机 当中 ， 需 要 进行 客户 并 与 服务 











器 端 两 


次 的 SYN/ACK 封包 发 送 与 确认 ， 所 以 一 次 TCP 联机 确认 时 ， 需 要 进 
行 三 向 交 


握 的 流程 ; 
UDP 通讯 协议 由 于 不 需要 联机 确认 ， 因 此 适用 于 快速 实时 传输 且 不 


需要 数据 
可 靠 的 软件 中 ， 例 如 实时 通讯 ; 
ICMP 封包 最 主要 的 功能 在 回报 网 络 的 侦 测 状况 ， 故 不 要 使 用 防火 墙 


将 他 完 
全 挡 掉 ; 
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一 般 来 说 ， 一 部 主机 里 面 的 网 络 参 数 应 该 具备 有 : IP， Netmask， 
Network, 


Broadcast, Gateway, DNS 等 ; 
在 主机 的 port 当中 ， 只 有 root 可 以 启用 小 于 1024 以 下 的 port ; 
DNS 主要 的 目的 在 于 进行 Hostname 对 应 IP 的 功能 ; 

2.7 本 章 习题 


nn 
| 


据 的 单位 为 何 ? 
数据 单位 为 bits/second, 与 惯用 的 bytes 差 8 倍 。 





什么 是 MAC (Media Access Control) ，MAC 主要 的 功能 是 什么 ? 
Media Access Control 的 缩写 ， 为 以 太 网 络 便 件 讯 框 的 规格 ， 以 太 网 络 整 


0 讯 框 进行 数据 的 传送 。 目前 MAC 也 常 被 用 为 以 太 网 络 卡 卡 
号 的 代称 。 


什么 是 封包 碰撞 ? 为 什么 会 发 生 封包 碰撞 ? 
当主 机 要 使 用 网 络 时 ， 必 须要 先进 行 CSMA/CD 监听 网 络 ， 如 果 (1) 网 络 
使 用 





ee 则 可 能 会 发 生 监听 时 均 显 示 无 主机 使 用 ， 但 发 
去 





后 却 发 生 同 步 发 送 封包 的 情况 ， 此 时 两 个 封包 就 会 产生 碰撞 ， ”造成 数 
据 损 左 。 


ARP Table 的 作用 为 何 ? 如 何在 我 的 Linux 察看 我 的 ARP 表格 ? 
ARP 协议 主要 在 分 析 MAC 与 IP 的 对 应 ， 而 解析 完毕 后 的 数据 会 存在 


局 、\ 一 


we 下 次 要 传送 到 相同 的 卫 时 ， 束 会 主动 的 直接 以 该 MAC 传 


发 送 广播 封包 询问 整个 网 域 了 。 
利用 arp -n 即 可 
简略 说 明 Netmask 的 作用 与 优点 ; 


Netmask 可 以 用 来 区 分 网 域 ， 且 Netmask 可 以 有 效 的 增加 网 络 的 效率 ， 
这 





是 因为 Netmask 可 以 定义 出 一 个 网 域 的 大 小 ， 那 么 broadcast 的 时 间 融 
可 以 降 


低 很 多 ! 一 般 来 说 ，“ 我 们 如 果 要 将 一 个 大 网 域 再 细 分 为 小 网 域 ， 也 需 


要 厌 由 
Netmask 来 进行 subnet 的 切割 | 。 


我 有 一 组 网 域 为 : ”192.168.0.0/28 ”， 请 问 这 个 网 域 的 ”Network, 
Netmask, 


Broadcast 各 为 多 少 ? 而 可 以 使 用 的 IP 数量 与 范围 各 是 多 少 ? 
因为 共有 28 个 bits 是 不 可 动 的 ， 所 以 Netmask 地 址 的 最 后 一 个 数字 为 
11110000， 也 就 是 (128+64+32+16=240) ， 所 以 : 
Network: 192.168.0.0 
net.qiang(Ohotmail.com 
Netmask: 255.255.255.240 
Broadcast: 192.168.0.15 
IP: 由 192.168.0.1 ~ 192.168.0.14 共 14 个 可 用 了 下 喔 ! 
承 上 题 ， 如 果 网 域 是 192.168.0.128/29 呢 ? 
因为 是 29 个 bits 不 可 动 ， 所 以 最 后 一 个 Netmask 的 地 址 为 : 11111000 
也 就 是 (128+64+32+16+8=248)， 所 以 : 
Network: 192.168.0.128 
Netmask: 255.255.255.248 
Broadcast: 192.168.0.135 
IP: 由 192.168.0.129 ~ 192.168.0.134 共 6 个 可 用 的 了 王 喔 ! 
我 要 将 192.168.100.0/24 这 个 Class C 的 网 域 分 为 4 个 子 域 ， 请 问 这 四 


个 子 域 要 如 何 表示 ? 





既然 要 分 为 四 个 网 域 ， 也 就 是 还 需要 藉 助 Netmask 的 两 个 bits (2 的 2 次 


方 为 4 啊 ! )， 所 以 Netmask 会 变 成 255.255.255.192 ， 每 个 子 域 会 有 
256/4=64 


个 IP ， 而 必须 要 扣除 Network 与 Broadcast ， 所 以 每 个 子 域 会 有 62 个 
可 用 


IP 喔 ! 因此 ， 四 个 子 域 的 表示 方法 为 : 
192.168.100.0/26, 192.168.100.64/26, 192.168.100.128/26， 
192.168.100.192/26。 
如 何 观 察 Linux 主机 上 面 的 路 由 信息 (route table)? 
路 由 信息 的 观察 可 以 下 达 route 来 直接 察看 ! 或 者 是 下 达 route -n 亦 可 
TCP 封包 上 面 的 SYN 与 ACK 标志 代表 的 意义 为 何 ? 
SYN 代表 该 封包 为 该 系列 联机 的 第 一 个 封包 ， 亦 即 是 主动 联机 的 意 














ACK 则 代表 该 封包 为 确认 封包 ， 亦 即 是 回应 封包 ! 
什么 是 三 向 交 握 ? 在 哪 一 种 封包 格式 上 面 才 会 有 三 回 交 握 ? 


TCP 封包 才 会 有 三 向 交 握 。TCP 封包 的 三 向 交 握 是 一 个 确认 封包 
正 硼 


性 的 重要 步骤 ， 通 过 SYN, SYN/ACK, ACK 三 个 封包 的 确认 无 误 后 ， 才 
能 够 建立 


联机 。 至 于 UDP 封包 则 没有 三 向 交 握 喔 ! 
试 说 明 何谓 有 网 管 ? 无 网 管 的 switch ? 此外， 这 些 switch 的 硬件 应 
算 在 











OSI 七 层 协 议 的 第 几 层 ? 





有 网 管 者 ， 会 在 switch 内 部 加 入 其 他 的 小 型 O0S， 厌 以 控 管 卫 或 MAC 
流通 ; 通常 基础 的 switch 仅 达 控 管 MAC ， 故 为 OSI 第 二 层 (数据 链 结 


为 何 ISP 有 时 候 会 谈 到 『 申 请 固定 8 个 IP ， 其 中 只 有 5 个 可 以 
用 |」， 


你 觉得 问题 出 在 哪里 ? 如果 以 网 域 的 观念 来 看 ， 他 的 netmask 会 是 多 
? 


I» 


UU 
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因为 如 果 是 一 个 网 域 的 话 ， 那 么 八 个 IP 前 后 (Host_ID 全 为 0 与 1 的 条 
件 ) 为 Network 及 Broadcast ， 加 上 一 个 在 ISP 处 的 Gateway ， 所 以 仅 有 
5 


个 可 以 用 。 因 为 有 8 个 IP ， 所 以 其 netmask 后 八 bits 为 11111000 ， 故 
为 


255.255.255.248。 
Internet 协议 中 共 包 含 "Network Access Layer", "Internet Layer"， 


"Transport Layer", "Application Layer"， 请 将 这 四 层 与 OSI 七 层 协 议 的 
内 


容 进行 连结 (自行 上 网 查询 相关 文章 说 明 ); 


Network Access Layer: 涵盖 Data-Link 及 Physical Layer 





Internet Layer: 也 是 Network Layer 
Transport Layer: 也 是 Transport Layer 


Application Layer: 涵盖 Application Layer, Persentatin Layer, Session 


Layer. 


请 目 行 上 网 查询 关 于 NetBIOS 这 个 通讯 协议 的 相关 理论 基础 ， 并 请 
说 明 


NetBIOS 是 否 可 以 跨 路 由 ? 








什么 是 Socket pair ? 包含 哪些 基本 数据 ? 
由 IP 封包 的 IP address 与 TCP 封包 的 port number 达成 ， 分 别 为 目的 
端的 IP/port 与 本 地 端的 IP/port。 


IP 有 一 段 A Class 的 网 段 分 给 系统 做 为 测试 用 ， 请 问 该 网 段 为 ? 设 定 
的 名 


称 为 ? 
127.0.0.0/8, loopback 
ICMP 这 个 协议 最 主要 的 目的 为 ? 同时 做 为 『 啊 应 」 的 类 别 为 第 几 


类 ? 


做 为 网 络 检测 之 用 ， 为 第 8 类 (echo request) 


IP 封包 表 头 有 个 TTL 的 标志 ， 请 问 该 标志 的 基本 说 明 为 何 ? 其 数据 
有 何 特性 ? 


为 该 封包 的 存活 时 间 ， 该 时 间 每 经 过 一 个 node 都 会 减少 一 ， 当 TTIL 为 
0 


时 ， 该 封包 会 被 路 由 器 所 丢弃 。 该 数据 最 大 为 255。 
在 Linux 当中 ， 如 何 查 询 每 个 port number 对 于 服务 的 对 应 (filename) 
/etc/services 档案 中 有 纪录 





什么 是 星 形 联机 ? 优点 为 何 ? 
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利用 一 ”hub/switch 链接 所 有 的 网 络 设备 的 一 种 联机 方式 ， 最 大 的 好 处 


是 ， 


0 
时 均 不 


会 影响 其 他 主机 的 联机 。 
请 说 明 CSMA/CD 的 运作 原理 ? 
发 送 流 程 
1. 主机 和 欲 使 用 网 络 时 ， 会 先 监听 网 络 ， 若 网 络 没有 被 使 用 时 ， 才 会 准备 
传送 ， 否 则 继续 监听 ; 
2. 当 数 据 传 送 钟 ， 发 现 有 碰撞 情况 时 ， 则 会 重新 监听 网 络 ， 并 且 重 新 发 
送 一 次 该 封包 ; 
3. 若 重 复发 生 碰 撞 16 次 ， 则 网 络 会 瘫痪 ; 
接收 流程 
3 主机 如 果 没 有 在 传送 数据 ， 则 会 监听 网 络 ， 并 且 主 动 在 接收 的 状态 
5. 若 接收 到 一 个 封包 ， 并 且 该 表 头 所 载 MAC 为 本 身 的 网 卡 卡号 ， 则 开 


始 接收 该 封包 ， 人 否则 将 该 封包 丢弃 ; 
6. 接收 过 程 当 中 如 果 发 生 封包 碰撞 ， 则 会 通知 原 发 送 主机 倍 撞 的 数据 ; 


7. 封包 接收 完毕 后 ， 会 以 MAC 表 头 所 载 长 度 同时 分 析 本 封包 长 度 ， 若 
发 生 问 题 ， 则 会 通知 对 方 重新 传送 。 

2.8 参考 数据 与 延伸 阅读 

特别 感谢 : 

本 文 在 2002/07 发 出 之 后 ， 收 到 相当 多 朋友 的 关心 ， 也 从 而 发 现 了 目 己 


误会 的 一 些 基 


础 的 网 络 理论 ， 真 的 是 感谢 好 朋友 Netman 兄 与 ZMAN 兄 的 指导 ! 这 篇 
短文 在 第 二 版 时 


(2003/08/03) ”做 了 相当 大 幅度 的 修订 ， 与 原来 的 文章 (上 次 更 新 日 期 
2002/09) 已 经 


有 一 定 程度 的 差异 了 ， 第 三 版 又 针对 整个 内 容 与 阅读 顺序 进行 调整 
(2010/08)， 和 希望 网 


友 们 如 果 有 时 间 的 话 ， 能 够 再 次 的 阅读 ， 以 厘清 一 些 基 本 概念 喔 ! 
注 1: 粘 添 寿 着 ， 『Internet 网 络 原 理 与 实务 」】， 旗 标 出 版 社 。 


注 2: Robert Breyer & Sean Riley 着 ， 风 信子 , 张 民 人 译 ，『 Switched 
& 


Fast 以 大 网 络 」， 旗 标 出 版 社 
注 3: 
注 4: Request For Comment (RFC) 技术 文件 : http://www.rfc- 
editor.org/ 
注 5: RFC-1122 标准 的 文件 数据 : 




















ftp://ftp.rfc-editor.org/in-notes/rf{c1122.txt 
: http:/www.tsnien.idv.tw/, 因特网 相关 课程 : 





http://120.118.165.46/tsnien/network/index.html( 强 烈 建 议 前 往 参 阅 ) 

注 7: 台湾 学 术 网 络 简介 (TANET): 
http:/www.edu.tw/moecc/content.aspx?site content sn=1707 
net.giang(@@hotmail.com 

注 8: Study Area 之 网 络 基础 : 
http:/www.study-area.org/network/network.htm 

注 9: 维基 百科 对 OSI 协定 的 说 明 : 
http://en.wikipedia.org/wiki/OSI model 

注 10: Phil Dykstra, Gigabit Ethernet Jumbo Frames: 
http://sd.wareonearth.com/~phiVjumbo.html 

注 11: Hub 与 Switch 的 迷 思 : 


http:/www.study-area.org/tips/hub switch.htm 
注 12: 管理 IP 的 





http:/www .icann.org/, http://www .iana.org/, 
http://en.wikipedia.org/wiki/IPv4 
注 13: 管理 IP 的 单位 ，http://www.iana.org/, 台湾 地 区 IP 核发 情况 : 
http:/rms.twnic.net.tw/twnic/User/Member/Search/main7.jsp?Order=inet 
aton(Startip) 
注 14: 相关 参考 数据 


[TCP/IP Tllustrated, Volume 1 - The Protocols| , W. Richard Stevens ， 





资 策 会 中 文化 部 门 译 ; 
http://en.wikipedia.org/wiki/Classless Inter-Domain Routing 


PPPoE 


http://en.wikipedia.org/wiki/Point-to-Point Protocol over Ethernet 
2002/07/18: 第 一 次 完成 日 期 ! 





2002/09/26: 修改 了 部 分 可 能 引起 误解 的 文章 部 分 ! 

2003/08/03: 重新 编排 版 面 ， 并 且 重 新 检视 文章 内 容 ， 修 订 文 章 ! 
2003/08/20: 增加 重点 回顾 与 课 后 练习 

2003/09/06: 加 入 参考 用 解答 

2004/03/16: 修订 N-Way 的 错误 ， 订 正 为 Auto MDLIMDIX 的 功能 ! 
2006/02/09: 将 旧 的 文章 移动 到 此 处 


2006/07/12: 参考 了 粘 教授 与 风 信 子 兄 的 书籍 ， 修 改 了 很 多 基础 数据 
喔 ! 还 有 重点 整理 ， 


不 过 ， 练 习 尚 未 更 新 
2006/07/16: 加 入 习题 练习 吕 ! 


2007/10/21: 图 14 那个 UDP 的 表 头 资料 中 ，16 bits 误 植 为 16 bytes， 感 
谢 讨 论 区 


ricky.liu 的 告知 ! 
2008/04/21: 经 由 网 友 chyanlong 指点 ，IHL 的 大 小 单位 误 植 为 


byte， 应 该 是 字 


组 (word) 才 对 。 








2010/07/22: 将 基于 CentOS4.x 所 写 的 数据 放置 于 此 处 
2010/08/15: 将 章节 依据 TCP/IP 相关 的 层级 分 别 介 绍 ， 更 改 的 幅度 不 小 


喔 ! 


2011/07/15: 将 基于 CentOS 5.x 所 撰写 的 文章 移动 到 此 处 
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最 近 更 新 日 期 : 2011/07/15 


在 这 一 章 当 中 ， 我 们 会 继续 讨论 在 一 个 小 型 企业 或 家 庭 里 面 的 小 型 局 域 
网 络 规划 ， 以 让 的 所 有 计算 机 主 


机 都 可 以 直接 利用 以 太 网 络 进行 数据 的 连接 啊 ! ”一 般 来 说 ， 内 部 局 域 
网 络 都 希望 直接 使 用 私有 IP 来 设 


定 沟 通 环境 ， 直 接 以 简单 的 星 形 联机 做 为 网 络 施工 的 主要 类 型 ，“” 瓜 下 
就 来 谈 一 谈 如 何 规划 你 主机 在 星 形 


联机 所 应 该 要 放置 的 状态 。 最 终 我 们 也 列 出 本 书 所 需要 的 局 域 网 络 联机 
染 构图 喔 ! 




















现在 就 让 我 们 实际 的 来 将 家 里 或 者 小 型 企 


业内 部 的 至 
部 计算 机 给 他 连接 起 来 吧 ! ”当然 啦 ， 我 们 这 里 主要 介绍 的 是 小 型 局 域 





网 络 的 架构 ， 如 


果 是 比较 大 型 的 企业 内 部 ， 那么 将 『 配 线 盘 、 线 路 设计 、 墙 上 网 络 
孔 」 分别 拆 开 施工 


的 结构 化 布线 会 比较 妥当 。 不 过 ， 结 构 化 布线 并 非 本 文 所 想 要 讨论 
的 ， 如 果 你 的 企业 


有 需求 的 话 ， 可 以 同 专业 人 士 寻求 协助 ， 举 例 来 说 ， 酷 学 园 


(http://phorum.study-area.org) 的 ZMAN 兄 就 是 一 位 很 棒 的 网 络 布线 专 
家 。 无 论 如 何 ， 


先 来 将 所 有 的 网 络 硬件 联机 起 来 吧 ! 
3.1.1 局 域 网 络 的 布线 规划 





从 前 一 章 的 数据 探讨 中 ， 你 现在 应 该 已 经 知道 局 域 网 络 的 定义 了 。 大 部 
分 狭义 的 定 


义 中 ， ”都 将 局 域 网 络 定位 在 一 个 以 星 形 联机 连接 的 实体 网 络 中 ， 有 再 透 


过 卫 网 段 来 连 


接 在 一 起 的 情况 。 所 以 啦 ， 这 个 联机 是 怎么 连接 在 一 块 的， 以 及 卫 网 
段 是 如 何 规划 


的 ， 就 显 的 非常 重要 吃 ! 
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记得 以 前 听 ZMAN 大 可 茶场 演讲 的 时 候 提 到 ， 网 络 布线 是 [ 数 十 年 大 
计 | 中 最 重要 


的 一 环 ， 因为 『 服 务 器 主机 能 力 不 够 时 换 主 机 就 好 了 ，Switch 交换 力 
不 足 时 换 switch 


就 好 了 ， ”但 如 果 布 线 不 恨 ， 难 道 要 拆 掉 房子 将 管线 挖 出 来 重新 安 厂 设 
定 ? 」 上 所 以 说 ， 最 


初 规划 的 布线 严 褒 度 真 的 会 影响 到 未 来 网 络 的 分 布 情况 啊 ! 


所 以 说 ， 如 果 你 的 企业 『 整 栋 大 楼 需要 重新 布线 | 时 ， 真 的 非常 建议 你 
务必 要 找寻 

专业 网 络 布线 专家 帮忙 设计 规划 ， ”因为 连 一 个 小 小 的 机 柜 配 线 箱 都 有 
大 学 问 一 设计 的 

好 的 话 ， 每 部 独立 的 主机 要 改线 路 、 ”要 换 插 孔 都 变 的 很 简单 ! 而 且 主 
机 到 墙 上 插 孔 的 


距离 也 会 变 的 很 短 ， 维 护 也 会 很 方便 ! 线段 也 会 很 美观 ! ”当然 啦 ， 如 
此 一 来 ， 网 络 线 


材 的 选择 也 就 不 能 够 用 太 差 的 ! 而 且 网 络 布线 经 过 折 角 区 时 ， 也 需要 特 
别 留意 施工 响 。 


但 是 本 文 讨论 的 是 一 些 比较 小 的 局 域 网 络 环境 ， 这 样 的 环境 可 以 是 在 一 
间 办 公 室 内 











而 已 ，“ 所 以 我 们 这 里 谈 到 的 大 多 是 比较 单纯 的 布线 状态 ， 并 没有 考虑 
到 办 公 室 外 部 的 


环境 ， 所 以 参考 本 文 时 ， 请 特别 留意 这 种 差异 性 喔 ! 


我 们 可 以 利用 一 个 以 switch 为 中 心 来 串 连 所 有 设 
I 星 形 


联机 (star topology) 架构 来 设计 我 们 的 局 域 网 络 啊 ! 在 这 样 的 环境 中 你 
需要 担心 的 


是 『 那 我 的 Linux 服务 器 要 放 在 那个 地 方 ? 」 会 考虑 Linux 服务 器 是 因 
为 乌 哥 假设 你 


需要 在 你 的 局 域 网 络 内 架设 对 Internet 开放 网 络 的 服务 ! 而 Linux 是 否 


J 


Public IP 对 于 主机 的 维护 与 设 定 的 复杂 度 有 很 大 的 影响 ， 所 以 当然 需要 
考虑 哆 ! 展 


下 鸟 哥 以 目前 在 台湾 挺 流行 的 ADSL 利用 电话 线路 上 网 的 环境 来 说 明 几 
种 联机 状态 。 


PR 乌 哥 假设 我 们 仅 有 一 条 ADSL 的 对 外 联机 ， 也 就 是 
说 ， 我 们 


的 与 一 般 PC (不 论 何 种 操作 系统 ) 都 是 透 过 同一 条 线 连 到 Internet 
上 面 


的 。 
3.1.1-1 Linux 直接 联网 -与 PC 同 地 位 


如 果 你 使 用 的 ADSL 是 多 IP 的 条 件 (例如 拨 接 可 以 给 予 2-8 个 IP 的 情 
讽 )， 


那么 最 简单 的 方式 束 是 如 下 图 的 联机 模式 : 
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ADSL 数据 机 





图 3.1-1、Linux 服务 器 取得 public IP 的 联机 方式 之 一 (具有 多 个 可 用 了 
情况 ) 


在 这 种 联机 模式 当中 ， Linux 与 一 般 PC 或 打印 机 都 是 同等 地 位 ， 并 没 
有 谁 比较 


[大 尾 ! 」 和 ^ 和 如 果 不 急 着 连 上 Internet 时 ， 那 么 每 个 设备 都 给 予 一 个 
同 网 域 的 私有 


IP 束 可 以 进行 网 络 联机 的 工作 了 ， 你 也 可 以 很 快乐 的 使 用 打印 机 或 者 是 
网 络 上 的 芳 邻 


等 等 工作 。 此 外 ， Linux 服务 器 也 可 以 作为 内 部 的 文件 服务 器 或 者 是 打 
印 机 服务 器 等 


和 
等 。 


当 需 要 连 上 Internet 时 ， 每 部 计算 机 (包括 PC 与 Linux 主机 ) 都 可 以 上 自 
己 直 


接 透 过 拨 接 连 上 ， 而 由 于 拨 接 是 在 每 部 机 器 上面 『 额 外 增加 一 个 实体 
的 ppp0 接口 」， 


此 时 ， 你 的 系统 内 束 会 有 两 个 可 以 使 用 的 卫 了 (一 个 是 public 一 个 是 
private IP)。 


因此， ” 拨 接 上 网 之 后 每 部 主机 还 是 可 以 使 用 原 有 的 局 域 网 络 内 的 各 项 
服务 ， 而 无 须 更 


动 原本 设 定 忌 当 的 私有 IP 。 这 样 的 情况 对 于 一 般 家 硅 使 用 者 来 说 ， 可 
以 算是 最 佳 的 


解决 方案 啦 ! 因为 如 果 你 的 Linux 主机 挂 点 时 ， 其 他 个 人 的 PC 是 不 会 
被 影响 的 ! 


不 过 这 样 的 环境 对 于 小 型 企业 主 来 说 ， 却 不 好 管理 。 因 为 无 法 掌握 每 个 
员工 实际 上 


网 的 情况 ， 而 且 对 于 防火 墙 来 说 ，『 根 本 残 是 一 个 没有 防火 增 的 环 
境 ] ， 所 以 ， 是 没 


有 办 法 对 员工 进行 任何 实际 网 络 的 掌控 的 ， 并 且 由 于 网 络 内 外 部 (LAN 
与 外 部 环境 ) 并 


没有 明确 的 分 开 ， 网 管 人 员 对 于 进入 客户 器 的 封包 是 没有 任何 管理 的 能 
力 ， 所 以 对 于 


网 络 安全 来 说 ， 是 很 难 管控 的 一 种 环境 啊 ! 因此 对 于 企业 来 说 ， 不 建议 
这 种 环境 。 


3.1.1-2 Linux 直接 联网 -与 一 般 PC 分 开 网 域 
如 果 你 有 多 个 可 用 的 public IP ， 并 且 你 的 Linux 服务 器 主要 是 提供 


Internet 


的 WWW 或 mail 服务 ， 而 不 是 作为 内 部 的 文件 服务 器 之 用 ， 那 么 将 
Linux 服务 器 与 


内 部 的 网 域 分 开 也 是 个 可 行 的 方法 ， 而 且 Linux 拥有 public IP， 在 设 定 
与 维护 上 面 


也 不 困难 ， 如 下 所 示 : 
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情况 ) 


所 有 的 LAN 内 的 计算 机 与 相关 设备 部会 在 同一 个 网 域内 ， 所 以 在 LAN 
内 的 传输 速 


度 是 没有 问题 的 ， 此 外 ， 这 些 计算 机 要 连 出 至 Internet 时 ， 必 须要 透 过 
IP 分 享 器 ， 


所 以 你 也 可 以 在 IP 分 部 器 上 面 设 定 简 单 的 防火 场 规 则 ， 如 果 IP 分 胖 器 
可 以 换 更 高 


阶 的 设备 时 ， 那 么 你 束 可 以 在 该 设备 上 面 淋 设 规则 较为 完整 的 防火 墙 ， 
对 于 内 部 主机 


有 相当 程度 的 管理 ， 并 且 好 维护 啊 ! 
3.1.1-3 Linux 直接 联网 -让 Linux 直接 管理 LAN 


如 果 你 不 想 要 购买 IP 分 享 器 的 话 ， 那 么 直接 利用 Linux 服务 喜来 管理 
就 好 了 啊 ! 


那么 你 可 以 这 样 布 线 : 


图 3.1-3、 让 Linux 管理 LAN 的 布线 情况 
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IP 分 享 器 ADSL 败 据 机 


这 种 情况 下 ， 不 论 你 有 多 少 个 IP 都 可 以 适用 的 ， 尤 其 是 当 你 只 有 一 个 
public IP 


时 ， 就 非得 使 用 这 种 方式 不 可 了 。 让 Linux 作为 IP 分 享 器 的 功能 相当 
的 简单 ， 同 时 


Linux 必须 具备 两 张 网 络 卡 ， 分 别 是 对 外 与 对 内 ， 由 于 Linux 依旧 具有 
public IP ， 


所 以 在 服务 器 的 设 定 与 维护 上 相当 的 简单 ， 同 时 Linux 服务 器 可 以 做 为 
内 部 网 域 对 外 


的 防火 墙 之 用 ， 由 于 Linux 防火 墙 的 效能 挺 不 错 加 上 设 定 也 很 简单 ， 功 
能 却 也 是 很 不 


错 的 ! 因此 ， 网 络 管理 人 员 也 较 能 进行 较 完 善 的 掌控 ， 并 且 ， Linux 服 
务 器 也 要 比 高 


阶 的 硬件 防火 墙 便宜 多 了 ! 入 ^A 马 哥 个 人 是 比较 喜好 这 种 方式 的 联机 


啦 ! 


不 过 ， 我 们 都 知道 『 服 务 器 提供 的 网 络 服务 越 单纯 越 好 」， ”因为 这 样 
一 来 主机 的 


资源 可 以 完全 被 茶 个 程序 押 使 用 ， 不 会 互相 影响 ， 而 且 当主 机 被 攻击 
时 ， 也 比较 能 够 


立即 了 解 是 那个 环节 出 了 问题 。 但 是 如 同 图 3.1-3 的 状况 来 说 的 话 ， 由 
于 内 部 的 LAN 


是 需要 通过 Linux 才能 联机 出 去 ， 所 以 Linux 挂 点 时 ， 整 个 对 外 联机 束 
挂 了 ， 此 外 ， 


Linux 的 服务 可 能 就 太 复杂 了 操 ， 可 能 会 造成 维护 上 的 困难 度 。 但 对 于 
小 型 区 网 来 说 ， 


图 3.1-3 这 种 架构 还 是 可 以 应 付 的 来 的 啦 ! 
3.1.1-4 Linux 放 在 防火 墙 后 -让 Linux 使 用 Private IP 


我 们 可 以 将 Linux 服务 器 放 在 LAN 后 面 喔 ! 频密 ? 我 们 的 Linux 主机 
放 在 LAN 


里 面 ? 有 没有 搞 错 啊 ? 没 搞 错 啊 ~ 一。 比较 大 型 的 企业 通常 会 将 他 们 的 服 
务 强 主机 放置 在 





0 再 透 过 防火 墙 的 封包 重新 导 辐 的 功 
能 ， 闪 > 


Iternet 的 封包 先 经 过 防火 墙 后 才 进 入 到 服务 右 ， 如 此 一 来 可 在 防火 墙 
端 就 砍 掉 一 堆 


英名 其 妙 的 侦 测 与 攻击 ， 当 然 会 比较 安全 啊 ! ”这 种 架构 还 依 防火 墙 的 
多 嘉 而 又 可 分 为 


非 军事 区 (DMZ) 的 配置 ， 不 过 ， 太 麻烦 了 一 不 建议 初学 者 直接 使 用 。 
底下 我 们 仅 介绍 


较 简 单 的 架构 来 说 明 : 
图 3.1-4、Linux 主机 放 在 LAN 里 面 的 布线 情况 


ee 
能 的 话 ， 尔 


可 以 将 卫 分 译 器 换 成 Linux 主机 来 架设 防火 墙 ， 也 是 一 个 不 错 的 选择 
啊 ! 反正 现在 
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计算 机 天 天 在 升级 ， 升 级 后 的 旧 配 备 其 实 就 可 以 作为 Linux 防火 墙 之 用 
了 1 反正 人 防火 


首义 不 需要 什么 硬盘 与 强 效 的 显示 或 者 CPU， 只 要 有 不 错 的 网 络 接口 
就 能 够 达到 不 错 
的 防火 墙 效能 了 。 


不 过 这 里 得 再 次 的 强调 ， Linux 服务 器 主机 寿 放 在 LAN 里 面 (使 用 
private IP)， 


则 当 你 要 对 Internet 提供 网 络 服务 时 ， 防火 墙 的 规则 将 变 的 相当 复杂 ， 
因为 需要 进 








行 封包 转 递 的 任务 ， 在 某 些 比较 膝 烦 的 协议 当中 ， ”可 能 会 造成 设 定 方 
面 的 困扰 。 所 以 ， 


在 你 初 接 触 Linux 服务 器 时 ， 不 建议 新 手 使 用 这 种 联机 架构 ， 避 免 由 于 
失去 信心 而 没 


有 动力 学 习 一 (@_@)。 


每 种 联机 的 方式 都 有 其 适用 的 使 用 者 群 ， 所 以 没有 那个 是 比较 好 的 ， 完 
全 是 看 你 目 


己 的 网 络 环境 而 定 喔 ! OK! 我 们 现在 知道 要 连 上 以 太 网 络 组 成 的 局 域 
网 络 ， 就 得 要 有 


网 过 网 络 线 、 网 络 集中 媒体 (hub/switch)、 连 上 Intemet 的 调制 解 调 


器 等 等 


在 这 里 乌 哥 将 防火 场 、 路 由 需 等 等 设备 归 类 为 主机 ， ”因为 基本 上 ， 
些 组 件 内 部 一 定 


含有 一 个 网 络 卡 ， 只 是 操作 系统 的 精简 程度 与 软件 功能 的 不 同 就 是 
他 那么 这 些 所 


要 的 网 络 硬 件 又 该 如 何 挑选 呢 ? 
3.1.2 网 络 媒体 选 购 建议 


在 开始 底下 的 介绍 之 前 ， 你 必须 要 对 于 跳 线 、 并 行 线 、RJ-45 网 络 线 、 
Hub/Switch 





[ey 





此 





4 做 少 
外 不 在 我 们 局 


域 网 络 内 的 设备 ， 例 如 调制 解 调 占 ， 那 就 得 回 你 的 ISP 询问 了 ! 一 般 来 
说 ， 调制 解 调 


器 是 中 华电 信 提 供给 用 户 的 ， 然 而 由 于 『 中 华电 信 因 为 不 同 批 次 安装 的 
调制 解 调 器 模块 


不 同 ， 所 以 会 有 不 一 样 的 连接 与 线材 处 理 方式 ! 」( 跳 线 与 并 行 线 的 莽 
异 喔 ! ) 所 以 请 


特别 同 你 的 ISP 询问 才 行 。 确 下 主要 针对 局 域 网 络 内 的 网 络 媒体 来 进行 
介绍 与 说 明 。 


主机 硬件 系统 : 考虑 使 用 年 限 、 省 电 、 虚 拟 技术 等 


过 去 我 们 都 觉得 旧 的 计算 机 拿 来 安装 Linux ， 作 为 一 个 Linux server 挺 
不 错 。 后 来 乌 哥 


发 现 ， 很 多 旧 计算 机 其 实 已 经 超过 使 用 年 限 ，。 硬 要 使 用 有 点 问题 ， 因 
为 电子 零件 铠 怕 会 撞 


不 了 太 久 的 运作 时 间 。 而 且 ， 茶 些 时 刻 生 产 的 主机 其 实 非常 耗 电 ! 现在 
我 们 都 强调 要 市 能 减 


矶 嘛 ! 所 以 ， 可 以 购买 省 电 型 的 计算 机 主机 ， 并 且 CPU 含有 虚拟 化 能 
力 的 更 好 。 如 此 一 来 ， 


不 但 比较 省 电 ， 而 且 一 部 主机 可 以 透 过 虚拟 化 的 功能 ， ”仿真 出 多 部 操 
作 系 统 同时 运作 的 环 


境 ， 真 正 达到 市 能 减 碟 的 目的 ， 那 样 也 是 很 好 的 选择 阮 ! 


不 过 ， 选 购 什么 主机 配备 与 该 主机 即将 运作 的 服务 其 实 是 有 关系 的 ， 例 
如 防火 墙 系统 与 DHCP 


等 服务 并 不 需要 很 强 的 主机 ， 但 是 Proxy 及 SQL 等 服务 器 就 得 要 强 而 
有 力 的 主机 系统 ， 


甚至 得 要 磁盘 阵列 的 辅助 会 比较 好 ! 鸟 哥 在 后 续 的 章节 所 要 介绍 的 服 
务 ， 大 多 仅 是 企业 入 


部 或 者 是 外 部 很 轻松 的 服务 ， 并 不 需要 什么 强 效 的 主机 系统 ， 因 此 目前 
的 双核 心 入 门 级 机 种 ， 


己 经 非常 棒 了 ! ”所 以 哆 ， 花 太 多 时 间 在 介绍 主机 硬件 就 变 的 没有 什么 


意义 ! 你 只 要 记得 ， 




















新 购买 主机 时 ， 最 好 选 有 伪 指 令 集 的 CPU 即 可 。 
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Linux 操作 系统 ， 考虑 稳定 、 可 网 络 升 级 、 能 够 快速 取得 协助 支持 


你 可 以 将 目前 的 _ distribution 分 成 两 大 类 ， 一 类 是 多 功能 新 鲜 货 ， 例 如 
Fedora ， 一 种 


是 强调 性 能 稳定 但 软件 功能 较 旧 的 企业 用 途 货 ， 包 括 _ RHEL， CentOS 
SuSE 及 B2D 等 ! 


一 般 来 说 ， 我 们 会 建议 你 如 果 想 要 染 设 服务 器 时 ， 尺 量 选择 『 稳 定性 较 
局 的 企业 版 」 较 佳 ， 


因为 功能 新 且 强 的 版 本 例如 Fedora 由 于 太 强 调 新 鲜 贷 ， 所 以 核心 与 软 
件 的 变动 情况 较为 频 


篆 ， ” 那 束 很 容易 造成 一 些 困 扰 ， 因 为 很 多 用 户 目 行 安装 的 软件 可 能 
法 在 新 的 核心 上 面 跑 ， 


所 以 ， 只 要 核心 一 升级 ， 哇 ! 很 多 需要 编译 的 软件 就 都 需要 再 重新 编译 
过 ! 有 点 及 烦 就 是 了 。 


由 于 鸟 哥 用 惯 了 RPM 以 及 Red Hat 系统 的 关系 ， 所 以 在 这 里 推荐 你 使 
用 


























RHEL/CentOS/SuSE 这 几 个 Linux distributions， 因 为 他 够 稳定 且 设 定 上 
面 不 难 。 不 过 ， 

里 面 的 软件 版 本 可 能 就 不 会 是 最 新 的 ， 这 点 你 可 能 就 得 要 自行 设法 
咖 ! 比较 特别 的 是 





CentOS， 他 不 但 标榜 完全 相同 于 RHEL ， 并 且 可 以 直接 透 过 yum 这 个 
软件 进行 完整 版 本 的 


网 络 升级 ， 既 不 会 影响 到 原 有 的 设 定 ， 升 级 时 所 花费 的 时 间 又 短 ， 所 
以 ， 目前 乌 哥 都 是 以 


这 个 版 本 来 进行 服务 需 的 以 设 啊 ! 
网 络 卡 : 考虑 服务 器 用 途 、 内 建 与 个 、 驱 动 程序 的 取得 等 


一 般 来 说 ， 目 前 的 新 主机 几乎 都 是 内 建 gigabit 的 以 太 网 络 卡 了 ， 所 以 
你 不 需要 额外 购买 


网 络 卡 。 ”不 过 ， 使 用 内 建 的 网 络 卡 时 ， 你 得 要 注意 到 该 网 络 卡 是 否 大 
特殊 的 网 络 心 厂 ， 根 


据 以 往 的 经 验 ， 内 建 的 网 络 卡通 常 是 芯片 较 特 殊 的 ， 所 以 可 能 导致 
Linux 预 设 的 网 卡 驱动 


程序 无 法 顺利 的 驱动 该 网 络 卡 ， 那 就 比较 累 了 ~ 因为 你 必须 要 额外 的 安 
装 网 卡 驱动 程 友之 后 ， 


才能 够 顺利 的 使 用 该 球 网 络 卡 哩 。 


如 果 是 想 要 作为 Linux 服务 器 的 话 ， 那 么 你 的 网 络 卡 可 能 必须 要 购买 好 
一 点 的 。 举 例 来 说 ， 


茶 些 主板 内 建 便宜 的 gigabit 网 络 接口 ， 但 越 便宜 的 网 络 接口 可 能 会 造 
成 损耗 较 多 的 CPU 


资源 ， 如 果 能 够 购买 类 似 Intel/3Com 等 知名 品牌 的 gigabit 适 配 卡 ， 不 
但 传输 较为 稳定 ， 


并 且 可 以 降低 系统 资源 的 耗费 ， 是 有 一 定 程度 的 帮助 的 。 夯 外 ， 如 条 强 
调 高 速 的 话 ， 甚至 


可 以 选用 PCI-Express 的 网 络 卡 ， 而 不 使 用 传统 的 PCI 接口 。 因 为 PCI- 
Express 的 传输 




















Tips: 
你 知道 吗 ? 鸟 站 (http:/inux.vbird.org) 使 用 的 主机 硬件 是 旧 

式 的 AthlonXP 2000+， 内 存 也 仅 有 1.5G ， 使 用 的 网 络 卡 则 是 早 
期 的 3Com 3c905C 蕊 片 ， 速 度 仅 有 10/100 Mbps。 但 是 ， 使 用 到 目 
前 流量 传输 是 很 顺畅 的 ! 不 要 说 品牌 迷 思 ， 有 时 产品 的 用 料 实在 与 


不 过 ， 如 果 是 一 般 家 用 ， 或 者 是 准备 用 来 作为 学 习 机 之 用 的 主机 ， 那 
么 万 一 网 络 卡 芯片 无 法 


驱动 时 ， 请 先 买 个 螃蟹 卡 (芯片 是 Real Tek 8139) 来 作为 练习 之 用 ， 因 
为 Linux 本 刁 


束 支 持 Real Tek 8139 的 心 片 ， 你 不 需要 额外 的 驱动 程序 ， 这 样 会 方便 
学 习 啊 ! 而 且 该 网 


络 卡 也 很 便宜 (大 卖场 一 片 不 到 200 块 台币 )。 
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如 果 要 玩 Linux 又 想 比 较 顺 畅 的 玩弄 Linux 时 ， 请 不 要 坚持 使 用 
Linux 捉 不 到 的 网 络 卡 ! 否则 那 份 失望 的 心情 ….. 会 让 你 失去 很 
多 很 多 的 耐性 与 信心 啊 一 螃蟹 卡 最 好 认 的 地 方 在 于 其 芯片 上 面 有 个 
类 似 螃 蟹 的 Logo ， 以 前 鸟 哥 曾 经 在 大 卖场 上 面 逛 大 街 时 ， 还 『 跑 
环 」 过 一 整 排 螃蟹 卡 一 便宜 到 都 放 在 地 上 而 已 一 @_@ 
Switch/Hub: 考虑 主机 数量 、 传 输 融 宽 、 网 管 功 能 与 售 等 


谈 到 的 ， Hub 是 共享 媒体 而 Switch 是 








| 





共享 媒体 。 因 此 以 效能 以 及 融 宽 来 看 ， 当 然 是 switch 比较 好 用 啊 ! 不 
过 ， 如 果 你 是 一 般 


家 许 用 户 ， 只 是 要 作 简 单 的 上 网 等 工作 ， 是 没有 必要 购买 太 好 的 switch 
的 ， 建议 使 用 一 


般 大 卖场 可 以 买 到 的 5 port 的 hub 即 可 (差不多 500 块 台币 的 就 不 错 
了 )。 





不 过 如 果 你 常常 在 区 网 内 传送 大 量 的 数据 ， 例 如 一 次 传输 就 得 要 传送 
GBytes 的 数据 时 ， 那 


么 网 络 的 整体 速度 需要 很 详细 的 考 碟 喔 ! 包括 网 络 卡 最 好 使 用 gigabit 
当然 中 间 的 联机 


设备 最 好 买 支持 到 gigabit 速度 的 switch 啦 ! 因为 10/100/1000Mbps 的 
switch 要 比 


10/100Mbps 的 设备 快 上 十 倍 ， 速 度 可 是 差 很 多 的 啊 ! 如 果 你 的 设备 还 
要 更 快 时 ， 例如 乌 


哥 之 前 服务 的 实验 室内 部 的 cluster (从 集 式 计算 机 群 ) ， 则 购买 的 switch 
甚至 需要 文 持 














Jumbo frame 这 种 文 持 大 讯 框 的 硬件 架构 才 行 ， 否 则 速度 上 不 来 啊 ! 
网 络 线 : 考虑 与 速度 相配 的 等 级 、 线 材 形状 、 施 工 配 线 等 


在 所 有 串 连 网 络 的 设备 当中 ， 网 络 线 是 最 重要 ， 但 是 却 也 最 容易 被 忽略 
一 除了 网 络 线 的 等 级 


会 影响 到 连接 速度 外 ， 网 络 线 所 在 处 是 否 容易 被 压 折 ?是否 容易 有 讯号 
到 减 ? 目 己 压制 的 


RJ-45 接头 是 否 通 过 测试 ?网络 线 是 否 缠绕 情况 严重 ?都 会 影响 到 网 络 
的 传输 优 务 ! 所 以 ， 


虽然 我 们 常常 讲 要 确认 主机 与 Switch 是 否 有 连接 成 功 可 以 看 switch 上 
的 灯 号 ， 但 是 很 多 


时 候 昌 然 灯 号 是 亮 的 ， 不 过 由 于 网 络 线 折 损 严重 的 问题 ， “也 会 导致 联 
机 质量 不 展 喔 ! 


一 般 来 说 ， 


[个 体 户 」 与 小 型 企业 通常 网 络 线 是 直接 放 在 外 部 的 ， 这 种 情况 你 发 现 
网 络 怪 怪 


的 时 ， 可 以 直接 更 换 线路 。 不过， 如 果 是 如 同 中 大 型 企业 将 网 络 线 直 
接 埋 在 墙 内 或 者 是 在 


管线 当中 ， 发 现 问题 时 ， 真 的 很 麻烦 一 所 以 才 需 要 专业 人 才 的 辅助 
啊 ! 

















Tips: 

一 般 来 说 ， 越 高 等 级 的 网 络 线 ， 最 好 不 要 自行 制作 ， 因 为 一 个 小 小 
的 RJ-45 接头 的 压制 ， 由 于 营 线 裸露 程度 的 不 同 ， 就 会 影响 到 电 
子 屏 蔽 效应 的 优 和 劣 了 。Cat 5 等 级 的 线材 还 可 以 自行 压制 ， 比 他 还 
高 等 级 的 ， 最 好 还 是 买 现成 的 吧 ! 人 和信 




















无 线 网 络 相关 设备 ， 考 虑 速度 、 标 准 、 安 全 性 等 


现在 的 网 络 环 境 除了 传统 的 有 线 网 络 之 外 ， 其 实 还 有 一 个 也 是 很 常见 的 
咀 ， 那 惑 是 无 线 网 络 
啦 ! 无线 网 络 会 流行 主要 的 原因 除了 笔记 本 电脑 能 力 越 来 越 强 ， 使 得 
很 多 朋友 直接 以 笔记 
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本 电脑 取代 架 面 计算 机 之 外 ， 无 线 网 络 的 速度 目前 已 经 可 以 达到 54 ~ 
300 Mbps 那么 快 了 


(802.11n 的 标准 而 言 )， 对 于 一 般 只 是 上 网 看 新 闻 与 聊天 的 上 班 族 来 说 ， 
这 样 的 速度 实在 


是 非常 快 了 (一 般 的 ADSL 仅 是 2M/256K bps 而 已 )， 所 以 要 买 无 线 网 
络 设备 ( 含 基地 全 


与 在 dient 端的 无 线 网 卡 ) 来 做 成 局 域 网 络 ， 其 实 也 是 可 以 啦 ! 而 且 还 
可 以 省 去 网 络 线 


的 施工 呢 ! 


不 过 ， 无 线 网 络 最 大 的 问题 常 津 在 于 [无线 的 安全 性 」 方面， 因为 是 无 
线 的 设备 ， 所 以 『 基 


Te 常常 会 导致 LAN 内 的 主机 数据 被 箔 











， 这 可 是 非常 大 


的 问题 嗓 ! 可 千 万 不 要 小 看 这 个 问题 ， 吃 上 官司 常常 是 由 于 态 记 网 络 安 
全 啊 ! 记得 购买 无 


线 网 络 基地 台 时 ， 注 意 他 可 否 『 限 制 MAC 上 」， 如 此 一 来 ， 至 少 可 以 锁 

















网 卡 ， 只 让 指定 的 网 
卡 可 以 使 用 你 的 无 线 基 地 台 ， 比 较 安 全 啦 ! 
关于 其 他 配件 : 


事实 上 ， 整 个 网 络 环境 可 不 止 上 头 提 到 的 这 些 噬 咯 而 已 ， 还 包括 硬件 防 
火 墙 、 路 由 器 、 网 桥 


等 等 的 ， ”当然 ， 这 些 设 备 贵 的 话 也 有 上 百 万 的 ， 但 你 的 环境 是 否 需 要 
用 到 这 么 好 的 设备 ， 


那 就 见仁见智 啊 一 此 外 ， ”为 了 环境 的 美观 与 生活 的 便利 ， 你 总 不 希望 
走 在 路 上 被 网 络 线 所 


绊 倒 ， 也 不 希望 因为 网 络 线 绊 倒 你 导致 网 络 媒体 掉 落 ， ”结果 .….……. 损 失 
了 一 堆 和 $ 吧 一 


所 以 哆 ， 在 网 络 线 的 转角 处 必须 特别 注意 线材 的 保护 ， ”在 平面 地 上 则 
需要 特别 使 用 压条 给 


了 予 固定 ， 在 牵线 施工 的 时 候 尽 量 让 线材 治 着 墙角 或 者 是 墙 面 上 的 既 有 物 
品 ， 如 此 则 除了 保 


持 工作 场所 的 美观 之 外 ， 还 能 够 增加 工作 场所 的 安全 性 啊 ! 人 和信 
此 外 ， 


『 计算 机 上 网 的 速度 并 非 完 全 取决 于 网 络 带 宽 」 举例 来 说 ， ” 玩 在 线 游 
戏 时 ， 大 家 都 以 


为 网 络 融 宽 需 要 很 高 规格 ， 其 实 … 根 本 不 需要 ! 因为 3D 联机 游戏 最 主 
要 的 速度 瓶颈 应 该 


是 在 于 『3D 显示 上 」 而 不 是 网 络 。 这 是 因为 网 络 仅 传送 一 些 数 据 给 你 的 
主机 ， 而 你 的 主机 再 


在 目 己 的 硬盘 里 面 将 图 形 取出 ， 并 且 使 用 3D 绘图 卡 将 画面 绘制 到 你 的 
屏幕 上 。 所 以 ， 显 























示 速 度 或 者 是 CPU 不 够 力 时 ， 才 会 及 生 联机 游戏 的 顿 点 。 否 则 残 是 联 
机 游戏 服务 器 本 里 的 


负载 (loading) 太 大 ， 导 致 主机 啊 应 有 较 多 延迟 ， 就 产生 lag ( 顿 点 ) 的 问 


题 啦 ! 


另外 ， 包 括 你 主机 使 用 的 数据 是 否 具 有 快速 的 传输 接口 也 有 关 。 举 例 来 
说 ， 如 果 你 的 主机 使 


用 USB 1.1 (最 大 传输 12Mbps)， 但 网 络 速度 可 达 10/100/1000Mbps ， 那 
当 你 要 在 远程 使 


用 这 部 计算 机 的 USB 效 置 内 的 数据 时 ， 最 大 速度 会 是 『 12Mbps 
， 也 就 是 最 慢 的 那 一 个 组 


件 。 所 以 啊 ， 网 络 速度 慢 的 时 候 ， 不 要 以 为 只 要 增加 网 络 人 带宽 就 好 
了 ， 要 确切 的 找 出 问题 


啊 ! 


事实 上 ， 选 购 网 络 媒体 所 需要 考虑 的 参数 实在 太 多 了 ， 并 且 没 有 一 定 的 
依据 ， 完 全 


与 使 用 者 的 使 用 环境 与 未 来 功能 性 有 关 。 不过， 如 果 痢 眼 在 单纯 的 便 
件 速度 上 面 的 话 ， 


那么 选 购 时 考 夸 『 我 的 网 络 速度 可 接受 的 最 低速 度 为 何 ” 」 去 考虑 吧 ! 
如 果 行 有 余力 


的 话 ， 再 来 考虑 『 我 的 环境 需要 多 稳定 的 设备 来 达成 ? 」 其 他 的 ， 那 就 


得 要 靠 你 自己 摸 
索 哪 ! 和 和 
3.2 本 书 使 用 的 内 部 联机 网 络 参 数 与 通讯 协议 
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Router A 














IP 外 : public IP 
IP 内 :; 192.168.1.254/24 


WWW.centos.vbird( 本 剧 庙 的 主机 ) 


IP 外 : 192.168.1.100/24 
内: 192.168.100.254/24 


centos.vbird 





Workstation 


IP: 192.168.1.101 
Gateway: 192.168.1.254 





| 


clientlinux Wwinxp win7 : 
192.168.100.10 192.168.100.20 192.168.100.30 | 
| Default gateway: 192.168.100.254 : 


Daaneaananannnnnnnnnnnnnnnnnnnn nani nnnanncncnnl 








除非 你 已 经 具有 相当 熟练 的 Linux 系统 与 服务 器 架设 维护 经 验 ， 人 否则 不 
建议 你 使 


用 上 面 图 3.1-4 所 介绍 的 联机 模式 ， 对 于 初 接触 Linux 服务 器 架设 与 维 
护 的 朋友 来 说 ， 


将 你 的 联机 模式 设 定 成 图 3.1-3 应 该 是 个 不 错 的 选择 ， 除 了 可 以 让 你 简 
单 的 就 将 服务 


器 架设 成 功 之 外 ， 也 可 以 让 你 以 Linux 做 为 内 部 LAN 的 防火 墙 管理 中 
心 ， 唱 梧 "未 米 


的 学 习 成 长 方面 较 有 帮助 啊 ! 人 入 信 
3.2.1 联机 参数 与 通讯 协议 


为 使 你 的 服务 器 学 习 之 旅 较 有 连贯 性 ， 因 此 乌 哥 将 后 续 午 市 会 使 用 到 的 
区 网 环境 以 











图 3.1-3 为 模板 ， 设计 一 个 区 网 ， 包 括 相关 的 网 络 参数 如 下 所 示 : 
图 3.2-1、 本 书 所 使 用 的 区 网 环境 与 参数 设 定 


在 上 图 的 环境 下 ， 我 们 主要 介绍 的 是 www.centos.vbird 那 部 Linux 主 
机 ， 该 主 


机 必须 要 具有 router 的 能 力 ， 所 以 当然 必须 就 要 有 两 个 接口 ， 一 个 接口 
与 Internet 


沟通 ， 另 一 个 接口 则 与 内 部 的 LAN 沟通 。 那 么 为 什么 鸟 哥 说 的 是 『 两 
个 网 络 接口 | 而 


不 是 『 两 张 网 络 卡 」 呢 ? 原因 很 简单 ， 因为 一 张 网 络 卡 可 以 设 定 多 个 
IP 啊 ! 因此 ， 


在 Linux 当中 一 张 网 络 卡 可 以 具有 一 个 以 上 的 IP 呢 ! 由 于 一 个 IP 即 为 
一 个 网 络 接 


口 ， 因 此 只 要 两 个 网 络 接口 (不 论 有 几 张 网 络 卡 ) 即 可 进行 NAT (类 似 IP 
分 享 占 功能 ) 


的 设 定 啦 ! 所 以 自然 一 个 网 络 卡 即 可 哆 ! 不 过 ， 乌 哥 个 人 还 是 比较 喜欢 
并 且 建 议 两 张 网 


络 卡 的 啦 ， ”将 内 外 网 络 环境 完整 的 分 开 ， 让 你 的 内 部 网 络 效能 较 佳 一 
把 ! 
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天 于 与 Internet 的 联机 方面 ， 就 如 第 二 章 谈 到 的 ， 目 前 在 台湾 最 各 
有 ADSL， 


见 的 


SS 


Cable Modem, 学 术 网 络 的 固定 IP 等 ， 这 些 联机 的 方式 我 们 将 在 后 续 音 
节 继 续 介 绍 的 。 


至 于 内 部 的 LAN 我 们 则 建议 使 用 Private IP 来 设 定 喔 ! 鸟 哥 通常 喜欢 
使 用 


192.168.1.0/24 及 192.168.100.0/24 这 几 个 Class C 的 网 域 ， 没 什么 特殊 
原因 ， 只 


是 因为 .... 我 喜欢 ! 人 人 在 选 定 了 Private IP 的 网 段 后 ， 你 必须 要 有 『TIP， 
Network, 


Netmask, Broadcast Default gateway 以 及 DNS 服务 右 的 耻 」 等 等 的 设 定 
值 。 假 


设 我 Linux 主机 的 对 内 IP 为 192.168.100.254 ， 则 在 图 3.2-1 内 的 LAN 
内 的 PC 


之 网 络 相关 设 定 参数 则 为 : 


IP: 设 定 为 192.168.100.1~192.168.100.253 ， 但 IP 不 可 重复 ; 





Netmask: 255.255.255.0 

Network: 192.168.100.0、Broadcast: 192.168.100.255 

Default Gateway: 192.168.100.254 (路 由 器 的 IP) 

DNS: 暂时 使 用 168.95.1.1 
Tips: 
你 能 有 如 上 图 3.2-1 这 么 多 的 计算 机 来 测试 你 的 服务 器 环境 吗 ? 
当然 不 可 能 ! 那 如 何 达成 上 述 的 功能 呢 ? 透 过 虚拟 化 技术 啊 ! 鸟 哥 
是 以 virtualbox 这 套 软件 来 处 理 整 个 局 域 网 络 所 有 主机 的 安装 与 


测试 ， 主 要 虚拟 出 来 的 机 器 有 www.centos.vbird, clientlinux, 


winxp, win7 这 四 部 ， 要 注意 的 是 ，www.centos.vbird 有 两 张 网 卡 ， 
一 张 为 对 外 联机 的 使 用 bridge 模式 ， 一 张 与 其 他 三 部 主机 联机 的 


请 选择 「『intmnet」， 这 样 就 能 搞定 你 的 区 网 环境 与 实验 喔 ! 


安装 什么 通讯 协议 
目前 网 络 社会 最 通用 的 通讯 协议 就 是 “TCP/AP ”了 1! 因此 你 如 果 要 连 上 


Internet ， 


你 的 系统 就 得 要 支持 TCP/IP 才 行 。 但 在 局 域 网 络 内 部 时 ， 事 实 上 还 可 
以 透 过 简单 的 


通讯 协议 来 达到 数据 传输 的 目的 ， 例 如 NetBEUI 就 是 一 个 常见 的 简易 
通讯 协议 。 


在 Linux 系统 当中 ， 只 要 将 网 络 参 数 设 定 妥 当 ， 那 么 TCP/IP 就 已 经 被 
启用 了 ， 


所 以 你 不 需要 额外 的 再 安装 其 他 的 通讯 协议 。 不 过 ， 如 果 你 需要 将 你 的 
Linux 系统 中 


的 硬盘 空间 分 享 给 同 网 域 的 Windows PC 时 ， 那 么 就 需要 额外 的 加 装 
SAMBA 这 个 服务 


妖 软 件 才 行 。 相 关 的 SAMBA 数据 我 们 会 在 后 面 的 章节 提 及 。 反 正 不 管 
怎么 说 ， 目 前 


Internet 就 是 经 由 TCP/IP 来 进行 连接 的 ， 而 Linux 本 身 就 支持 了 TCP/IP 
， 所 以 不 


需要 额外 的 安装 有 的 没 的 说 ! 


至 于 在 Windows 部 分 就 比较 麻烦 一 点 ， 因 为 在 较 大 型 的 企业 当中 ， 还 
需要 额外 的 














考虑 到 Windows Server 所 提供 的 服务 ， 那 么 在 Windows Clients 并 就 得 
要 相应 的 局 


动 某 些 通讯 协议 才 行 。 一 般 来 说 ， 在 Windows Client 系统 里 面 ， 最 常见 
的 两 个 通讯 协 


议 就 是 TCP/IP 以 及 NetBEUI 这 两 个 通讯 协议 了 。 如 果 你 只 想 让 
Windows 与 Linux 


能 够 类 由 网 络 上 的 秀 邻 互通 有 无 ， 那 么 启动 TCP/IP 也 就 够 了 ( 因为 
SAMBA 是 厌 由 
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0 


NetBIOS over TCP/IP 来 达成 数据 传输 的 ) ， 不 过 ， 也 可 以 同时 启动 
NetBEUI 这 个 通 


讯 协议 就 是 了 。 
3.2.2 Windows 个 人 计算 机 网 络 设 定 范例 


ee Linux 主机 提供 的 服务 器 为 主 ， 所 以 关于 LAN 
里 面 扫 


Windows 我 都 将 他 假设 为 Client， 并 且 不 提供 网 络 服务 ， 所 以 都 先 以 固 
定 的 Private 


IP 来 设 定 Windows 操作 系统 ， 如 果 你 的 LAN 有 其 他 的 考虑 ， 那 么 抵 下 
的 设 定 就 看 看 

束 好 。 

我 们 在 Windows 系统 上 所 需要 的 网 络 参数 除了 IP, netmask, DNS 之 外 ， 


[工作 组 , workgroup」 与 『 计 算 机 名 称 , Netbios name」 等 等 的 设 定 ， 此 
外 ， 我 们 也 


可 以 加 上 LAN 里 面 很 常见 的 NetBIOS (NetBEUT) 这 个 通讯 协议 响 。 
此 ， 除 非 你 确定 


你 的 网 域内 还 有 其 他 的 工作 站 ， 人 硅 则 『 请 只 要 安装 ”TCP/IP ”以 及 
NetBEUI 这 两 个 协议 


就 好 了 ! 」 安装 太 多 反而 会 有 问题 呢 ! 后 下 我 们 假设 你 的 网 络 卡 部 安 
装 好 了 ， 并 以 图 


3.2-1 里 面 那 部 内 部 区 网 的 winxp 主机 为 例 来 介绍 : 
与 网 络 有 关 的 设 定 参 数 : 

o IP: 192.168.100.20 

oO Netmask: 255.255.255.0 

o DNS: 168.95.1.1 

oO Gateway: 192.168.100.254 

o 工作 组 : vbirdhouse 

o 计算 机 名 称 : winxp 
详细 的 设 定 流程 : 


1. 先 到 『 开 始 」==> 『 设 定 」】==> 『 控 制 面板 】 ==> 『 网 络 联机 」==> 
选择 『 区 


域 联机 」 该 项 后 ， 会 出 现 如 下 图 示 : 
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二 区 域 违 义 状 能 
一 般 








| 支援 | 
可 
状 能 : 有 限 的 或 没有 连 特 能 力 
连 午时 间 : 00:11:24 
速度 : 1000 Mbps 











图 3.2-2、 区 域 联机 状态 
2. 上 面 画 面 当 中 选择 『 内 容 」 进 入 如 下 的 设 定 画 面 中 : 
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二 区 域 吉 入 内 容 加 加 











一 般 | 进 阶 | 

圳 御 使 用 : 

下 有 LMD PCNET Family PCI Ethemet A | 
运 个 连 罚 使 用 下 列 项 目 (OY: 





四 Client for Microsoft Networks 
File and Printer Sharing for Microsott Networks | 
1 Qos Packet Scheduler 











Intemet Protocol (TCPAP) 
解 陈 志 革 加 | 人 RR 
描述 


志 克 控制 通讯 协定 , 狗 际 移 路 通讯 协定 (TCPJIP) * 过 是 预 
bi ’ 提供 个 同 阐 路 之 间 的 通讯 能 


癌 ] 连 贸 后 ， 在 通知 区 域内 显示 图 示 忆 ) 
在 过 从 连 粮 只 有 有 限 连 儿 或 洛 有 违 粮 能 力 时 通知 我 Gd) 











取消 
图 3.2-3、 区 域 联 机 内 容 





3. 接 下 来 ， 在 上 图 中 选择 『 联 机 后 ， 将 图 标 显 示 在 通知 区 域内 」 ， 


且 双 击 


『Internet Protocol (TCP/P)」 项 目 ， 束 会 出 现下 图 。 在 下 图 中 填 上 我 们 


需要 的 


各 项 IP 参数 ， 然 后 再 按 下 确定 就 设 定好 哆 ! 
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Internet Protocol (TGCPHIPY 内 容 























如 果 炊 的 粒 路 支 接 二 项 功能 ， 您 可 以 取得 自动 指派 的 I 认定 否 
则 ， 炮 粹 须 词 问 阐 路 系统 官 理 内 正确 的 卫 谱 下 。 

〇 自动 取得 IP 位 址 (0) 

全 使 用 下 列 的 了 位 址 仿 ): 

I 位 址 四 : [ 192. 168. 100. 20 | 

子 袍 路 谈 蛙 串 ): | 

预 访 天 道中 ): | 192 .168 .100 . 254 | 











自动 取得 DNS 伺服 器 位 址 如) 
@@) 使 用 下 列 的 DNS 伺服 器 位 址 EE): 
惯用 DNS 伺服 器 辐 ): | 168. 95 . 1 .1| | 


其 他 DNS 伺服 器 局 ): | 



































图 3.2-4、 区 域 联机 TCP/IP 设 定 内 容 


4. 再 来 需要 编辑 你 的 网 络 识别 喔 ! 选择 『 开 始 」==> 『 控 制 面板 1 ==> 
双击 『 系 


统 」 之 后 出 现 的 图 标 ， 再 按 下 『 变 更 」 来 修改 工作 组 与 计算 机 名 称 ! 
输入 正确 之 后 ， 


只 要 重新 局 动 ， 那 么 就 可 以 使 用 局 域 网 络 喝 ! 
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志 路 名 寿 军 更 


元 可 以 鱼 更 过 各 电脑 的 名 稍 及 成 员 资格 * 过 个 度 更 可 能 
影 又 樟 暗 宜 温 的 存 取 。 


、 


















电脑 名 舟 忆 ): 
winxp| 

完整 电脑 名 三 : 
winp. 











成 员 妹 届 
CD) 网 域 回 ): 








© fF 
YEBIRDHOUSE 




















图 3.2-5、 区 域 联机 计算 机 名 称 与 工作 组 设 定 内 容 


a 的 网 络 参数 设 定 是 相当 的 简单 的 ! 鸟 哥 这 里 仅 介 绍 
区 改 IP 上 后 


相关 网 络 参数 的 方式 而 已 。 未 来 如 果 还 需要 搭配 DHCP 主机 、NAT 主 
机 等 等 服务 器 的 


设 定时 ， 会 再 次 的 提醒 用 户 Windows 的 设 定 信息 喔 ! 尤其 是 SAMBA 
主机 的 设 定 中 ， 


Windows 的 网 络 识别 就 显 的 相当 的 重要 了 呢 ! 
2002/07/22: 初次 完成 了 局 域 网 络 架 设 的 基本 架构 
2003/08/17: 将 整个 文章 重新 修订 ， 移 除 一 些 已 经 在 网 络 基础 里 面谈 过 


的 内 容 ， 并 且 新 增 了 表 头 
的 说 明 。 

2003/08/20: 加 入 课 后 练习 了 。 
2003/09/19: 加 入 参考 用 解答 咯 ! 


2005/05/05: 将 原本 介绍 并 行 线 与 跳 线 的 _N-Way_ 错误， 订正 为 auto 
MDIMDI-x 2006/07/13: 将 旧 的 文章 移动 到 此 处 。 


2006/07/14: 加 入 Linux distribution 的 说 明 ， 并 且 重 新 校 稿 更 新 内 容 ， 
如 布线 部 分 。 


2006/07/15: 取消 Windows 2000, 98。 
2010/08/16: 将 原本 旧 的 基于 CentOS 4.x 的 版 本 移动 于 此 处 


2010/08/20: 由 于 很 多 数据 与 前 一 章 有 重复 ， 有 些 数据 太 过 老 旧 ， 所 以 
重新 编辑 过 此 文章 。 


2011/07/15: 将 原本 的 基于 CentOS 5.x 的 文章 移动 到 此 处 


2011/07/15: 最 重要 的 是 加 入 图 3.2-1 了 ! 那 与 服务 器 篇 后 续 所 有 的 章节 
都 有 相关 性 喔 ! 
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第 四 瘟 、 连 上 Internet 
最 近 更 新 日 期 : 2011/07/20 


终于 要 来 到 修改 Linux 网 络 参 数 的 章节 了 ! 
们 知道 主机 要 连 上 Internet 需 


要 一 些 正确 的 网 络 参数 设 是， 这 些 设 定 在 Windows 系统 上 面 的 修改 则 
竺 第 三 童 的 局 域 网 络 四 让 



































了 。 在 这 一 章 当 中 ， 我 们 则 主要 以 固定 卫 的 设 定 方式 来 修改 Linux 的 
网 络 参 数 ， 同 时 ， 也 会 介绍 如 何 


使 用 ADSL 的 拨 接 方式 来 上 网 ， 此 外 ， 因 为 Cable modem 使 用 者 也 不 在 
少数 ， 所 以 我 们 也 说 明 一 下 Cable 


modem 在 Linux 下 的 设 定 方式 喔 ! 最 后 ， 由 于 笔记 本 电脑 使 用 者 大 
增 ， 有 日 因为 笔记 本 电脑 常 使 用 无 线 


网 络 ， 因 此 本 文 也 加 入 了 无 线 网 络 的 联机 介绍 啊 ! 


4.1 Linux 连 上 Internet 前 的 注意 事项 








4.1.1 Linux 的 网 络 








4.1.2 编译 网 卡 驱 动 程序 (Option 











4.4.3 预 设 吕 和 问题 
4.5 重点 回顾 


4.6 本 音 习 是 





4.1 Linux 连 上 Internet 前 的 注意 事项 





由 前 面 几 章 的 数据 我 们 知道 ， 想 要 连 上 Internet 你 得 要 设 定 一 组 合法 的 
IP 参数 


才 可 以 ， 主 要 是 IP, Netmask, Gateway, DNS IP 以 及 主机 名 等 。 那 我 们 也 
知道 ， 其 实 


整个 主机 了 最 重要 的 设 定 ， 就 是 『 移 要 驳 动 网 络 卡 」， 人 否则 主机 连 网 络 卡 
都 捉 不 到 时 ， 怎 


么 设 定 IP 参数 部 是 没有 用 的 ， 你 说 是 吧 ! 所 以 底下 我 们 惑 来 谈 一 谈 ， 
你 要 如 何 确定 


网 络 卡 已 经 被 扣 到 ， 而 Linux 主机 的 网 络 参 数 又 该 如 何 设 定 ? 
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4.1.1 Linux 的 网 络 卡 


你 怎么 确认 Linux 有 捉 到 网 络 卡 ? Linux 底下 的 网 络 卡 的 名 称 是 喻 ?让 
我 们 来 了 


解 一 下 吧 ! 
认识 网 络 卡 的 装置 代号 
00 00 


IDE1 接口 的 第 一 个 master 硬盘 等 等 。 不 过 ， 网 络 卡 的 代号 (Network 


Interface Card, NIC) 却 是 以 模块 对 应 装置 名 称 来 代 蔡 的 ， 而 默认 的 网 络 
人 


号 为 eth0 ， 第 二 张 网 络 卡 则 为 eth1 ， 以 此 类 推 。 
关于 网 络 卡 的 模块 (驱动 程序 ) 


i 所 以 当然 需要 核心 支持 才能 驱动 他 。 一 般 
来 说 ， 目 


所 以 使 用 者 可 以 很 轻易 的 设 定好 他 们 的 网 络 卡 。 不 过 ， 万 
络 卡 蕊 片 组 开发 商 不 愿意 释 出 开放 源 (Open Source) 的 硬件 驱动 程序 ， 


或 者 是 


该 网 络 卡 太 新 了， 使 得 Linux 核心 来 不 及 文 持 时 ， 那 么 你 就 得 要 透 过 : 





0 但 是 ， 重 编 核心 或 编译 网 络 卡 核 
人心 黄 二 





人 而 且 有 时 原始 码 又 可 能 无 法 在 每 部 主机 上 面 编译 成 
功 ， 所 以 


万 一 你 的 网 络 卡 真 的 不 被 默认 的 Linux 网 络 芯 片 所 文 持 ， 那 么 鸟 哥 真 的 
建议 直 


、 Linux 文 持 的 网 络 卡 吧 ， 例 如 很 便宜 的 螃蟹 卡 ! 免得 花 了 太 
时 间 


在 硬件 确认 上 面 ， 划 不 来 的 ! 人 人 


为 外， 其 实 有 的 时 候 Linux 的 默认 网 络 卡 模块 可 能 无 法 完全 100% 的 发 
挥 网 络 


卡 的 功能 的 ， 所 以 ， 有 的 时 候 你 还 是 得 必须 要 自行 编译 网 络 卡 的 模块 
行 喔 ! 


那个 网 络 卡 的 模块 束 得 要 自行 由 网 络 卡 开 发 商 的 官方 网 站 下 载 
TA 


ee 那么 每 次 重新 安装 其 他 版 本 的 核 
心 丰 ， 14 人 小 


都 必须 要 自行 重新 手动 编译 过 该 模块 。 因为 模块 与 核心 是 有 相关 性 的 
啊 ! 


观察 核心 所 捉 到 的 网 卡 信 息 


假设 你 的 网 络 卡 已 经 在 主机 上 面 ， 不 论 是 内 建 的 还 是 自行 安插 到 PCI 或 
PCI-x 


或 ~ 的 接口 上 ， 那么 如 何 确认 该 网 络 卡 有 被 核心 提 到 呢 ? 很 简单 
啊 ! 束 乔 


用 dmesg 来 查阅 即 可 : 
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[root@www ~]# dmesg | grep -in eth 


377:e1000: eth0: e1000_probe: Intel(R) PRO/1000 Network Connection 
383:e1000: eth1: e1000_probe: Intel(R) PRO/1000 Network Connection 
418:e1000: etho NIC Link is Up 1000 Mbps Full Duplex, Flow Control: RX 


419:eth0: no IPv6 routers present 


re 377 及 383 这 两 行 ， 我 们 可 以 查 到 这 部 主机 的 两 张 网 络 卡 都 
用 模 


块 为 el1000， 而 使 用 的 芯片 应 该 就 是 Intel 的 网 络 卡 了 。 此 外 ， 这 个 网 卡 


的 速 


1000Mbps 的 全 双 工 模式 哩 (418 行 ) ! 除了 使 用 dmesg 来 查询 
交心 


人 
数据 喔 ! 


如 下 所 示 : 

[root@www ~]# lspci | grep -iethemet 

00:03.0 Ethernet controller: Intel Corporation 82540EM Gigabit 

Ethernet 

Controller (rev 02) 

请 青 注意 ， 鸟 哥 这 里 使 用 的 是 Virtualbox 仿真 的 那 部 主机 的 环境 (请 参考 

第 一 章 

ee 如 果 你 是 使 用 上 自己 的 实 

件 配备 安装 的 主机 ， 那 么 应 该 会 看 到 不 同 的 区 户 啦 ! 那 是 正常 的 ! 
观察 网 络 卡 的 模块 


从 刚刚 的 dmesg 的 输出 讯 奶 中 ， 我 们 知道 马 哥 这 部 主机 所 使 用 的 模块 是 
e1000， 


ee 吗 ? 可 以 利用 lsmod 去 查 查 看 。 此 外 ， 这 个 模块 
的 相 > 


言 轧 又 是 如 何 呢 ? 使 用 modinfo 来 碍 碍 看 吧 ! 
[root@www ~I# lsmod | grep 1000 

e1000 119381 0 <== 确 实 有 载 入 到 核心 中 ! 
[root@www ~]# modinfo e1000 


filename: /lib/modules/2.6.32- 
71.29.1.el6.x86_64/kernel/drivers/net/e1000/e1000.ko 


version: 7.3.21-k6-NAPI 
license: GPL 


description: Intel(R) PRO/1000 Network Driver 


0 (filename) 的 部 分 ! 那 一 场 串 的 文件 
目录 ， 


就 是 我 们 驱动 程序 放置 的 主要 目录 所 在 。 得 要 注意 的 是 ， 那 个 


2.6.32-71.29.1.el6.x86_64 是 核心 版 本 ， 因 此 ， 不 同 的 核心 版 本 使 用 的 驱 
动 程 


序 其 实 不 一 样 喔 ! 我 们 才 会 一 直 强 调 ， 更 改 核 心 后 ， ”你 自己 编译 的 便 
件 驱 动 程 


序 就 需要 重新 编译 啦 ， 
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ee 很 简单 啊 ! 不 管 有 没有 局 动 你 的 网 络 
， 部 可 


以 使 用 ; 『 ifconfig eth0 」 来 查询 你 的 网 卡 卡号 。 如 果 你 照 痢 上 面 的 信 


A 


作 ， 结果 发 现 网 卡 已 经 驱动 了 ， 恭 辟 你 ， 准 备 到 下 一 节 去 设 定 网 络 
吧 ! 如 果 没 


有 捉 到 网 卡 呢 ?” 那 就 准备 自己 编译 网 卡 驱 动 程序 吧 ! 
4.1.2 编译 网 卡 驱动 程序 (Option) 


一 般 来 说 ， 如 果 没 有 特殊 需求 ， 鸟 哥 不 是 很 建议 你 自己 编译 网 络 卡 的 驱 
动 程序 ! 为 


喻 ? ”因为 想到 每 次 更 新 核心 都 得 要 重新 编译 一 次 网 卡 驱 动 程序 ， 光 是 
想 想 都 党 得 烦 一 


所 以 ， 没 有 被 Linux 预 设 核心 支持 的 网 卡 ， 就 先 丢 着 吧 ! 

















Tips: 
乌 哥 之 前 买 了 一 张 内 建 网 卡 的 主板 ， 该 网 卡 并 没有 被 当时 的 Linux 


预 设 核心 所 支持 ， 所 以 就 得 要 自己 编译 核心 啦 。 因 为 CentOS 很 少 








更 新 核心 ， 所 以 第 一 次 编译 完毕 之 后 就 筷 记 有 这 回 事 了 。 等 到 过 了 
数 周 有 新 的 核心 出 现 后 ， 驴 哥 很 开心 的 自动 升级 核心 ， 然 后 远程 进 
行 reboot ， 结 果 呢 ?没有 网 卡 驱动 程序 了 啦 ! 我 的 主机 无 法 联网 ， 
得 要 到 主机 前 用 tty 登入 后 才能 进行 编译 一 唉 一 


如 果 你 真 的 很 有 求知 欲 ， 而 且 该 网 卡 的 官网 有 提供 给 Linux 的 驱动 程 厅 
原始 码 ; 或 者 


古 你 很 想 要 茶 些 官网 提供 的 驱动 程序 才 有 的 特殊 功能 ， 又 或 者 是 你 真 的 
很 不 想 要 再 买 一 


张 额外 的 网 卡 。 此 时 ， 就 得 要 重新 编译 网 络 卡 的 驱动 程序 哆 。 


























Tips: 

事实 上 ， 如 果 你 要 新 添 购 硬件 时 ， 请 先 查 阅 一 下 硬件 包装 上 面 是 否 
提 及 支持 Linux 的 字样 ， 因为 有 些 硬件 厂商 在 推出 新 硬件 时 ， 常 
常会 漏 掉 Linux 驱动 程序 的 撰写 。 如 果 包 装 上 面 有 提 到 支持 的 话 ， 
那么 至 少 你 会 获得 官方 网 站 所 提供 的 驱动 程序 原始 码 啊 ! 人 和信 


因为 我 们 这 里 使 用 的 网 络 卡 是 Intel 的 82540EM Gigabit Ethernet 控制 必 
片 ， 假 设 


你 需要 的 驱动 程序 得 要 由 Intel 官网 取得 最 新 的 版 本 ， 而 不 要 使 用 预 设 
的 核心 所 提供 


的 版 本 时 ， 那 你 该 如 何 处 理 呢 ? 请 注意 ， 乌 哥 这 个 小 节 只 是 一 个 范例 简 
介 ， 不 同 的 广 


商 推 出 的 驱动 程序 安装 方式 都 有 点 不 太一 样 ， 你 得 要 参考 驱动 程序 的 读 
我 档 (READ ME) 


或 相关 档案 来 安装 才 行 。 此 外 ， 如 采 默 认 驱 动 程序 已 经 捉 到 了 网 络 





























卡 ， 乌 哥 是 建议 使 
用 预 设 的 驱动 程序 就 好 了 喔 ! 
另外 ， 由 于 编译 程序 需要 编译 程序 以 及 核心 相关 信息 ， 因 此 得 要 预 安 装 


gcc, make, 


kernel-header 等 软件 才 行 。 但 是 我 们 选择 的 安装 模式 为 『basic 
server」 ， 这 些 软 


件 默认 都 没有 安装 的 ， 所 以 你 得 要 和 多 安装 这 些 软件 才 行 。 ”这些 软件 可 
以 简单 的 透 过 yum 
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使 用 『yum groupinstall 'Development Tools'」 来 安装 ， 只 可 惜 你 并 没有 
网 络 啊 ! 所 


以 就 得 要 透 过 原本 光盘 一 个 一 个 去 处 理 RPM 属性 相依 的 问题 来 解决 了 
一 很 麻烦 的 一 不 


然 的 话 ， 就 得 要 透 过 更 改 yum 配置 文件 ， 使 用 本 机 档案 的 类 型 来 取得 
原版 光盘 的 yum 


软件 列表 吃 ! 乌 哥 这 里 假设 你 已 经 安装 了 所 需要 的 编译 程序 了 ， 接 下 
来 的 动作 是 : 


1. 取得 官方 网 站 的 驱动 程序 : 


再 次 说 明 ， 你 可 以 复制 乌 哥 的 环境 ， 透 过 Virtualbox 的 模拟 而 来 。 我 们 
这 里 使 


用 的 是 mtel 的 网 卡 ， 你 可 以 到 如 下 的 网 站 去 下 载 : 








O 


http:/downloadcenter.intel.com/SearchResult.aspx?lang=eng&keyw 
ord='e1000-' 


最 后 (2011/07) 下 载 的 版 本 为 8.0.30， 确 实 比 上 个 小 节 提 到 的 版 本 还 要 
新 ! 下 


载 的 文件 名 为 e1000-8.0.30.tar.gz， 鸟 哥 将 它 放 置 于 /root 底下 ， 然 后 准 
备 


来 处 理 编译 过 程 吧 ! 

2. 解压 缩 与 编译 : 

使 用 root 的 映 份 进行 如 下 工作 吧 : 

[root@www ~]# tar -zxvf e1000-8.0.30.tar.gz -C /usr/local/src 
[root@www ~]# cd /usr/local/src/e1000-8.0.30/ 


# 此 时 在 该 目录 下 有 个 README 的 档案 ， 记 得 看 一 看 ， 这 个 档案 内 会 
说 明 很 多 


主 自 


百 vC， 





# 包括 如 何 编译 ， 以 及 这 个 模块 所 文 持 的 世族 组 哩 ! 
[root@www e1000-8.0.30]# cd src 
[root@www src]# make install 


最 后 这 个 模块 会 被 编译 完成 且 安 装 放置 于 如 下 的 档 名 : 


/lib/modules/$(uname 





-rT)/kernel/drivers/net/e1000/e1000.ko。 ” 接 下 来 我 们 得 要 重 载 这 个 新 的 模 
块 


才 行 吻 ! 
3. 模块 之 测试 与 处 理 


由 于 这 个 模块 已 经 被 加 载 啦 ， 所 以 我 们 得 要 移 移 除 旧 的 模块 后 ， 才 能 够 
重 载 这 个 





模块 。 使 用 的 方法 有 扣 像 这 样 : 


#1. 先 移 除 已 经 加 载 在 内 存 中 的 旧 模 块 
[root@www ~]#rmmod e1000 


# 此 时 已 经 捉 到 的 网 卡 会 整个 消失 不 见 ! 因为 驱动 程序 被 凶 除 了 听 ! 
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# 2. 加 载 新 模块 ， 并 且 查 阅 一 下 有 没有 捉 到 正确 的 版 本 ! 


[root@www ~]# modprobe e1000 





[root@www ~]# modinfo e1000 


filename: /lib/modules/2.6.32- 
71.29.1.el6.x86_64/kernel/drivers/net/e1000/e1000.ko 


version: 8.0.30-NAPI <== 就 是 这 里 ! 
license: GPL 
description: Intel(R) PRO/1000 Network Driver 


请 目 行 与 前 一 小 节 比 对 一 下 ， 就 会 发 现 真 的 捉 到 正确 的 版 本 哆 ! 不 过 ， 
这 个 模块 


在 下 次 新 的 核心 推出 后 就 会 失效 ! ”为 什么 呢 ?” 因 为 新 核心 会 给 一 个 新 
的 驱动 程 


序 嘛 ! 就 不 是 你 现在 这 个 8.0.30 的 版 本 嘿 。 这 点 还 是 要 再 次 说 明 的 。 
4. 设 定 开机 自动 启动 网 络 卡 模块 (Option) 
如 果 你 在 开机 就 能 够 正确 的 取得 这 个 模块 的 话 ， 那 么 你 的 网 卡 就 没有 问 


题 啦 ! 这 


个 步骤 是 可 以 略 过 的 。 如 果 你 的 核心 还 是 捉 不 到 网 卡 ，” 那 你 可 能 得 要 
自己 处 理 




















一 下 模块 的 对 应 才 行 。 怎 么 处 理 呢 ? 很 简单 ， 在 /etc/modprobe.d/ 目录 
下 建立 


0 ether.conf 的 档案 ， 内 容 将 模块 与 网 卡 代 号 链接 在 一 块 即 可 ! 
这 


处 理 : 





[root@www ~]# vim /etc/modprobe.d/ether.conf 
alias eth0 e1000 
alias eth1l e1000 <== 因 为 乌 哥 有 两 张 网 卡 嘛 ! 





[root@www ~]# sync; reboot 


为 了 测试 一 下 刚刚 的 设 定 是 否 会 生效 ， 通 常 马 可 都 会 洗 试 一 次 重新 局 


动 ， 然 后 


ts 并 观察 一 下 模块 加 载 
I 情况 ， 


如 果 一 切 都 顺利 ， 那 就 太 完 美 了 ! 
5. 尝试 设 定 卫 


等 到 一 切 就 绪 之 后 ， 总 得 试看 看 这 样 的 网 络 卡 模块 是 否 可 以 顺利 的 设 定 
好 IP 吧 ? 


所 以 我 们 先 手 动 给 他 一 个 私有 IP 看 看 先 : 


[root@www ~]# ifconfig eth0 192.168.1.100 














[root@www ~]# ifconfig 
eth0 Link encap:Ethernet HWaddr 08:00:27:71:85:BD 


inet addr:192.168.1.100 Bcast:192.168.1.255 


Mask:255.255.255.0 
…( 以 下 省 略 )..… 
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嘿嘿 ! 真 的 设 定 妥 当 哩 ! 然后 利用 ping 这 个 指令 去 ping 一 下 网 域内 的 
其 他 计 


算 机 ， 看 看 能 不 能 有 响应 ， 就 知道 你 的 网 络 卡 是 否 OK 的 啦 ! 通常 是 没 
有 问题 


的 啦 ! 
4.1.3 Linux 网 络 相关 配置 文件 案 


我 们 知道 TCP/IP 的 重要 参数 主要 是 : IP, Netmask, Gateway, DNS IP ， 
而 且 干 


万 不 要 忘记 你 这 部 主机 也 应 该 要 有 主机 名 (hostname)! 此 外 ， 我 们 也 知 
道 IP 的 取得 


有 手动 设 定 、DHCP 处 理 等 。 那 么 这 些 参数 主要 是 写 在 哪些 配置 文件 ? 
如 何 对 应 呢 ? 发 


下 残 让 我 们 来 处 理 一 番 ! 
所 需 网 络 

主要 配置 文件 档 名 

重要 参数 

参数 


DEVICE= 网 卡 的 代号 


BOOTPROTO= 是 否 使 用 
dhcp 
HWADDR= 是 售 加 入 网 卡 
卡号 (MAC) 

IP 

IPADDR= 束 是 IP 地 址 
Netmask 
NETMASK= 只 网 络 屏 蔽 
DHCP 与 

中 
/etc/sysconfig/network-scripts/ifcfg-ethO 


不 
口 


ONBOOT= 要 不 要 默认 启 
Gateway 

动 此 接口 

等 

GATEWAY= 就 是 通讯 闸 
啦 
NM_CONTROLLED= 额 外 
的 网 管 软件 


乌 哥 建议 取消 这 个 项 

目 ! 
NETWORKING= 要 不 要 有 
网 络 

主机 名 
/etc/sysconfig/network 
NETWORKING_IPV6= 支 
援 IPv6 否 ? 
HOSTNAME= 你 的 主机 名 
DNS IP 

/etc/resolv.conf 
nameserver DNS 的 IP 
私有 IP 

对 应 

/etc/hosts 

私有 了 主机 名 别名 

的 主机 名 
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0 


你 没有 看 错 ， 主 要 需要 修改 的 束 古 这 四 个 档案 而 已 ! 因此 没有 很 困难 ! 








大 家 都 想 太 多 了 ! 


详细 的 设 定 后 续 小 节 再 来 讲 ， ”这 里 先 有 概念 即 可 。 除 此 之 外 ， 还 有 些 
档案 或 许 你 也 应 


该 要 知道 一 下 比较 好 哎 ! 
/etc/services 
这 个 档案 则 是 记录 架构 在 TCP/IP 上 面 的 总 总 协议 ， 包 括 http, ftp, ssh, 


等 等 服务 所 定义 的 port number ， 都 是 这 个 档案 所 规划 出 来 的 。 如 
果 你 


想 要 自 定义 一 个 新 的 协议 与 port 的 对 应 ， 就 得 要 改 这 个 档案 了 ; 





/etc/protocols 


这 个 档案 则 是 在 定义 出 IP 封包 协议 的 相关 数据 ， 包 括 ICMP/TCP/UDP 
这 方面 的 


封包 协议 的 定义 等 。 


大 概 知道 上 面 这 几 个 档案 后 ， 未 来 要 修改 网 络 参 数 时 ， 那 就 太 简单 了 ! 
至 于 网 络 方 


面 的 启动 指令 的 话 ， 可 以 记得 几 个 简单 的 指令 即 可 喔 ! 
/etc/init.d/network restart 


这 个 script 最 重要 ! 因为 可 以 一 口气 重新 局 动 整个 网 络 的 参数 ! 他 会 主 
动 的 


去 读 取 所 有 的 网 络 配置 文件 ， 所 以 可 以 很 快 的 恢复 系统 默认 的 参数 值 。 
ifup eth0 (ifdown eth0) 

局 动 或 者 是 关闭 某 张 网 络 接口 。 可 以 透 过 这 个 简单 的 script 来 处 理 喔 ! 
这 网 








个 script 会 主动 到 /etc/sysconfig/network-scripts/ 目录 下 ， 读 取 适当 的 
配置 文件 来 处 理 啊 ! (例如 ifcfg-eth0)。 


大 概 你 只 要 只 到 这 些 基本 的 指令 与 档案 ， 哈 哈 ! 网 络 参 数 的 设 定 就 太 简 
单 啦 ! 不 


过 ， 最 好 你 还 是 要 了 解 shell script ， 比 较 好 ! 因为 可 以 追踪 整个 网 络 的 
设 定 条 件 。 


why ? 这 是 因为 每 个 distributions 的 设 定 数据 可 能 都 不 太 相同 ， 不 过 却 
都 以 


/etcinit.dnetwork 作为 启动 的 script ， 因此 ， 你 只 要 了 解 到 该 档案 的 内 
容 ， 很 


容易 就 退 踩 得 出 来 你 的 配置 文件 所 需要 的 内 容 呢 ! 对 吧 ! 


另外 ， 新 版 的 CentOS 6.x 还 有 额外 推出 一 个 名 称 为 NetworkManager 的 
软件 机 制 


来 管理 网 络 ，“ 不 过 ， 马 哥 还 是 比较 喜欢 手工 打造 目 己 的 网 络 环境 ， 上 所 
以 很 建议 将 该 软 


件 关 闭 呢 ! 还 好 ， 我 们 安装 的 『basic server (第 一 童 的 1.2.2-2) 就 这 人 么 
巧 的 没有 


安装 该 软件 ! 好 佳 在 一 人 入 
4.2 连 上 Internet 的 设 定 方 法 


在 前 几 章 我 们 就 谈 过 ， 台 湾 地 区 主要 连 上 因特网 的 方法 有 (1) 学 术 网 络 、 
(2)ADSL 


接 与 拨 接 、(3)Cable modem 等 方式 ， 同 时 ， 手 动 设 定 IP 参数 是 很 重要 
的 学 习 ， 因 此 ， 


底下 的 各 节 中 ， 第 一 市 的 手动 设 定 固定 IP 一 定 要 做 过 一 次 ! 其 他 的 才 
依照 您 的 环境 











去 设 定 去 学 习 ! 
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人 
此 外 ， 由 于 目前 使 用 Linux notebook 的 使 用 者 大 增 ， 而 Notebook 通常 


征 以 无 线 





网 络 来 联机 的 ， ”所 以 马 哥 在 这 里 也 尝试 使 用 一 球 无 线 网 络 来 进行 联机 
设 定 。 至 于 传统 


的 56 Kbps 拨 接 则 因为 速度 较 慢 且 使 用 上 度 越 来 越 低 ， 所 以 在 这 里 加 不 多 
做 介绍 了 。 


4.2.1 手动 设 定 固定 IP 参数 (适用 学 术 网 络 、ADSL 固定 制 ) + 五 大 检查 


步 又 


所 谓 的 固定 IP 就 是 指 在 你 的 网 络 参数 当中 ， 你 只 要 输入 既定 的 IP 参数 
即 可 。 那 


么 这 个 既定 的 IP 了 来 自 哪 里 呢 ? 一 般 来 说 ， 他 可 能 来 自 于 : 
学 术 网 络 : 由 学 校 单位 直接 给 予 的 一 组 IP 网 络 参 数 ; 
固定 制 ADSL: 疝 ISP 申请 的 一 组 固定 IP 的 网 络 参 数 ; 


内 部 或 IP 分 享 器 内 部 的 局 域 网 络 : 例如 企业 内 使 用 私有 IP 作为 
局 二 


网 络 的 联机 之 用 时 ， 那么 我 们 的 Linux 当然 也 就 需要 疝 企 业 的 网 管 人 员 
二 


申 i 














组 固定 的 IP 网 络 参数 嘿 ! 


这 样 清楚 吗 ? 也 就 是 说 ， 我 们 取得 的 固定 IP 参数 并 非 一 定 是 public IP 
嘱 ! 反 


正 惑 是 一 组 可 接受 的 固定 IP 束 是 了 ! 所 以 在 架设 你 的 环境 之 前 ， 请 先 


注意 所 有 网 络 


参数 的 来 源 正 确 性 啊 ! 好 了 ， 那 么 你 的 卫 要 如 何 设 定 呢 ?” 先 回去 翻 翻 
第 三 章 3.2.1 里 


面 的 图 3.2-1， 我 们 对 外 网 卡 (eth0) 的 信息 为 : 
IP: 192.168.1.100 

Netmask: 255.255.255.0 

Gateway: 192.168.1.254 

DNS IP: 168.95.1.1 


Hostname: www.centos.vbird 


那么 要 修改 的 四 个 档案 与 相关 的 局 动 脚本 ， 以 及 重新 局 动 后 需要 用 喻 指 
令 观察 的 重点 ， 


乌 哥 再 次 的 使 用 一 个 简单 的 表格 来 说 明 ， ”你 只 要 记得 这 几 个 表格 内 的 
重要 档案 与 指令 


以 后 在 修改 网 络 参数 时 ， 束 不 会 出 现 错误 了 ! 看 看 吧 ! 
修改 的 参 
配置 文件 与 重要 局 动 脚本 
观察 结果 的 指令 
数 


ifconfig 














IP 相关 参 /etc/sysconfig/network-scripts/ifcfg-eth0 (IP/Netmask) 
数 


/etc/init.d/network restart 
route -n (gateway) 

DNS 

/etc/resolv.conf 

dig www.google.com 
hostname (主机 名 ) 
/etc/sysconfig/network 
主机 名 

ping $(hostname) 
/etc/hosts 

reboot 
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底下 我 们 就 分 别针 对 上 面 的 各 项 设 定 来 进行 档案 的 重新 修改 哆 ! 


1. IP/Netmask/Gateway 的 设 定 、 启 动 与 观察 


设 定 网 络 参 数 得 要 修改 ” /etc/sysconfig/network-scripts/ifcfg-eth0， 请 记 


得 ， 


这 个 ifcfg-eth0 与 档案 内 的 DEVICE 名 称 设 定 需 相同 ， 并 且 ， 在 这 个 档 
安 
站 


所 有 设 定 ， 基 本 上 就 是 bash 的 变量 设 定 规则 啦 (注意 大 小 写 )! 
[root@www ~]# vim /etc/sysconfig/network-scripts/ifcfg-ethO0 


DEVICE="eth0" <== 网 络 卡 代号 ， 必 须要 ifcfg-eth0 相对 应 


HWADDR='"08:00:27:71:85:BD" <== 就 是 网 络 卡 地 址 ， 和 若 只 有 一 张 网 
I 


略 此 项 目 


NM_CONTROLLED="no" <== 不 要 受到 其 他 软件 的 网 络 管理 ! 





ONBOOT="yes" <== 是 否 默 认 启 动 此 接口 的 意思 
BOOTPROTO=none <== 取 得 IP 的 方式 ， 其 实 关 键 词 只 有 dhcp， 
手动 可 输入 none 

IPADDR=192.168.1.100 <== 就 是 IP 啊 
NETMASK=255.255.255.0 <== 就 是 子 网 撼 码 
GATEWAY=192.168.1.254 <== 就 是 预 设 路 由 

# 重点 是 上 面 这 几 个 设 定 项 目 ， 底 下 的 则 可 以 省 略 的 哆 ! 


NETWORK=192.168.1.0 <== 就 是 该 网 段 的 第 一 个 IP， 可 省 略 





BROADCAST=192.168.1.255 <== 就 是 广播 地 址 咖 ， 可 省 略 
MTU=1500 <== 就 是 最 大 传输 单元 的 设 定 值 ， 符 不 更 改 则 
可 省 略 


上 面 的 资料 很 好 理解 吧 ! 请 注意 每 个 变量 (左边 的 英文 ) 都 应 该 要 大 写 ! 
售 则 我 


们 的 script 会 误 判 ! 事实 上 乌 哥 的 设 定 值 只 有 最 上 面 的 8 个 而 已 ， 其 他 











NETWORK, BROADCAST, MTU 马 哥 都 没有 设 定 咀 ! 至 于 参数 的 说 明 
方面 ，IPADDR， 





NETMASK, NETWORK, BROADCAST 鸟 哥 在 这 里 就 不 再 多 说 ， 要 谈 的 


是 几 个 重要 的 设 

定 值 : 

0 DEVICE: 这 个 设 定 值 后 面 接 的 装置 代号 需要 与 文件 名 (ifcfg-eth0) 
那个 装置 代号 相同 才 行 ! 否则 可 能 会 造成 一 些 装置 名 称 找 不 到 的 困扰 。 
oBOOTPROTO: 

启动 该 网 络 接口 时 ， 使 用 何 种 协议 ? 如 果 是 手动 给 予 了 

的 环境 ， 请 输入 static 或 none ， 如 果 是 自动 取得 IP 的 时 候 ， 请 输 
入 dhcp (不 要 写 错字 ， 因 为 这 是 最 重要 的 关键 词 ! ) 

o GATEWAY: 代表 的 是 『 整 个 主机 系统 的 default gatewayj」 ， 所以， 


设 定 这 个 项 目 时 ， 请 特别 留意 ! 不 要 有 重复 设 定 的 情况 发 生 喔 ! 也 就 是 
当 




















你 有 ifcfg-eth0, ifcfg-eth1.… 等 多 个 档案 ， 只 要 在 其 中 一 个 档案 设 
定 GATEWAY 即 可 
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o GATEWAYDEV: 如 果 你 不 是 使 用 固定 的 卫 作为 Gateway ， 而 是 使 
用 


网 络 装置 作为 Gateway (通常 Router 最 常 有 这 样 的 设 定 )， 那 也 可 以 使 


用 GATEWAYDEV 来 设 定 通讯 闸 装 置 呢 ! 不 过 这 个 设 定 项 目 很 少 使 用 
就 是 了 ! 


0 ”HWADDR: 这 个 东西 就 是 网 络 卡 的 卡号 了 ! 在 仅 有 一 张 网 卡 的 情况 
下 


这 个 设 定 值 没有 喻 功能 ， ”可 以 忽略 他 。 但 如 果 你 的 主机 上 面 有 两 张 一 


模 


一 样 的 网 卡 ， 使 用 的 模块 是 相同 的 。 此 时 ， 你 的 Linux 很 可 能 会 将 
eth0， 


ethl 摘 混 ， 而 造成 你 网 络 设 定 的 困扰 。 如 何 解决 呢 ? 由 于 MAC 是 直接 


写 在 网 卡 上 的 ， 因 此 指定 HWADDR 到 这 个 配置 文件 中 ， 就 可 以 解决 网 
卡 对 


应 代号 的 问题 了 ! 很 方便 吧 ! 


设 定 完毕 之 后 ， 现 在 让 我 们 来 重新 启动 网 络 接口 吧 ! 这 样 才 能 更 新 整个 
网 络 参 数 


嘛 ! 





[root@www ~]# /etc/init.d/network restart 

Shutting down interface eth0: [ OK ] <== 先 关 闭 界面 

Shutting down loopback interface: [OK ] 

Bringing up loopback interface: [ OK ] <== 再 开启 界面 

Bringing up interface eth0: [OK ] 

Ce 的 所 有 网 络 接口 (包含 10) 与 通讯 闸 进 行 重新 局 动 ， 所 以 
双 





络 会 停顿 再 开 
这 样 就 处 理 完毕 吃 ， 那 接 下 来 当然 束 是 观察 看 看 嗓 ! 
# 检查 一 : 当然 是 要 先 察看 IP 参数 对 否 ， 重 点 是 IP 与 Netmask 啦 ! 








[root@www ~]# ifconfig eth0 


ethO Link encap:Ethernet HWaddr 08:00:27:71:85:BD 


inet addr:192.168.1.100 Bcast:192.168.1.255 

Mask:255.255.255.0 

inet6 addr: fe80::a00:27ff:fe71:85bd/64 Scope:Link 

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
RX packets:655 errors:0 dropped:0 overruns:0 frame:0 

TX packets:468 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 

RX bytes:61350 (59.9 KiB) TX bytes:68722 (67.1 KiB) 


# 有 出 现 上 头 那个 IP 的 数据 才 是 正确 的 启动 ;特别 注意 inet addr 与 
Mask 


项 目 


# ”这 里 如 果 没 有 成 功 ， 得 回去 看 看 配置 义 件 有 没有 错误 ， 然 后 再 重新 


network 








restart ! 

# 检查 二 : 检查 一 下 你 的 路 由 设 定 是 否 正 确 
[root@www ~]# route -na 
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Kernel IP routing table 

Destination Gateway Genmask Flags Metric Ref 
Use Iface 


192.168.1.0 0.0.0.0 255.255.255.0U00 


0 eth0 

169.254.0.0 0.0.0.0 255.255.0.0 U 1002 0 

0 eth0 

0.0.0.0 192.168.1.254 0.0.0.0 UG 0 0 

0 eth0 

# 重点 就 是 上 面 的 特殊 字体 ! 前 面 的 0.0.0.0 代表 预 设 路 由 的 设 定 值 ! 
# 检查 三 : 测试 看 看 与 路 由 器 之 间 是 人 否 能 够 联机 成 功 呢 ! 
[root@www ~1# ping -c 3 192.168.1.254 

PING 192.168.1.254 (192.168.1.254) 56(84) bytes of data. 

64 bytes from 192.168.1.254: icmp_seq=1l ttl=64 time=2.08 ms 

64 bytes from 192.168.1.254: icmp_seq=2 ttl=64 time=0.309 ms 

64 bytes from 192.168.1.254: icmp_seq=3 ttl=64 time=0.216 ms 

--- 192.168.1.254 ping statistics --- 

3 packets transmitted, 3 received, 0% packet loss, time 2004ms 

rtt min/avg/max/mdev = 0.216/0.871/2.088/0.861 ms 

# 注意 啊 ! 有 出 现世 才 是 正确 的 响应 ! 如 果 出 现 『 Destination Host 
Unreachable | 


# 表示 没有 成 功 的 联机 到 你 的 GATEWAY 那 表 示 出 问题 啦 ! 赶紧 检查 
有 无 设 定 


背 误 。 


要 注意 ， 第 三 个 检查 如 果 失 败 ， 可 能 要 看 你 的 路 由 需 是 否 已 经 关闭 ? 或 





者 是 你 的 


switch/hub 是 否 有 问题 ， 或 者 是 你 的 网 络 线 是 人 否 错误 ， 还 是 说 你 的 或 路 
由 器 的 


防火 墙 设 定 错误 了 ? 要 记得 去 解决 喔 ! ”这 三 个 检查 做 完 而 且 痢 成 功 之 
后 ， 那 么 


你 的 TCP/IP 参数 设 定 已 经 完毕 了 ! 这 表示 你 可 以 使 用 了 上 网 啦 ! 只 是 
还 不 


能 够 使 用 主机 名 上 网 就 是 了 。 接 下 来 就 是 要 设 定 DNS 嗓 ! 
2. DNS 服务 器 的 IP 设 定 与 观察 


这 个 /etc/resolv.conf 很 重要 啦 ! 他 会 影响 到 你 是 人 否 可 以 查询 到 主机 名 与 
IP 


的 对 应 喔 ! 通常 如 下 的 设 定 就 OK 了 ! 














[root@www ~]# vim /etc/resolv.conf 
nameserver 168.95.1.1 
nameserver 139.175.10.20 


我 们 以 中 华电 信 与 SeedNet 在 南部 的 DNS 服务 器 之 IP 作为 设 定 的 方 
式 ! 请 注 


意 一 下 ， 如 果 你 不 知道 你 的 最 接近 的 DNS 服务 右 的 卫 ， 那 么 直接 输入 
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nameserver 168.95.1.1 这 个 中 华电 信 的 DNS 主机 即 可 ! 不 过 如 果 你 公司 
内 部 


有 没 定 防 上 DNS 的 要 求 封包 的 防火 墙 规则 时 ， 那 么 你 就 得 要 请 教 贵 公 
司 的 网 管 


单位 告知 你 的 DNS IP 设 定 啦 ! 然后 赶紧 测试 看 看 : 
# 检 查 四 : 看 看 DNS 是 否 顺利 运作 了 呢 ? 很 重要 的 测试 喔 ! 





[root@www ~I# dig www.google.com 

…( 前 面 省 略 )..… 

;; QUESTION SECTION: 

;www.google.com. IN A 

;; ANSWER SECTION: 

www.google.com. 428539 IN CNAME www.l.google.com. 
www.l.google.com. 122 IN A 74.125.71.106 

.…( 中 间 省 略 )…. 

;; Query time: 30 msec 

;; SERVER: 168.95.1.1#53(168.95.1.1) <== 这 里 的 项 目 也 很 重要 ! 
;; WHEN: Mon Jul 18 01:26:50 2011 

;; MSG SIZE rcvd: 284 


上 面 的 输出 有 两 个 重点 ， 一 个 是 问题 查询 的 是 www.google.com 的 A 
(Address) 


并 且 从 回答 (Answer) 里 面 得 到 我 们 所 需 的 IP 参数 。 最 后 面 一 段 








ee 项 目 非常 重要 ! 你 得 要 看 是 否 与 你 的 设 定 相同 的 那 部 DNS 服务 
8 IP 


行 ! 以 上 面 输出 为 例 ， 乌 哥 使 用 中 华电 信 的 DNS 服务 器 ， 所 以 就 出 现 


168.95.1.1 的 卫 地 址 哆 。 
3. 主机 名 的 修改 、 启 动 与 观察 
修改 主机 名 就 得 要 改 /etc/sysconfig/network 以 及 /etc/hosts 这 两 个 档案 ， 


这 两 个 档案 的 内 容 又 简单 的 要 命 喔 ! 








[root@www ~]# vim /etc/sysconfig/network 
NETWORKING=yes 
HOSTNAME=www.centos.vbird 
[root@www ~]# vim /etc/hosts 
192.168.1.100 www.centos.vbird 


# ”特别 注意 ， 这 个 档案 的 原本 内 容 不 要 删除 ! 只 要 新 增 额外 的 数据 即 
可 ! 


修改 完毕 之 后 要 顺利 启动 的 话 ， 得 要 重新 启动 才 可 以 。 为 什么 需要 重新 
启动 呢 ? 


因为 系统 已 经 有 非常 多 的 服务 局 动 了 ， 这些 服 务 如 宋 需 要 主机 名 ， 都 
征 到 这 个 

档案 去 读 取 的 。 而 我 们 知道 配置 文件 更 新 过 后 ， 服 务 都 得 要 重新 局 动 才 
1 


此 ， 已 经 启动 而 且 有 读 到 这 个 档案 的 服务 ， 就 得 要 重新 局 动 啊 ! 真 抹 烦 
一 因此 ， 
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名 
最 简单 的 方法 ， 就 是 重新 启动 。 ”但 重 开机 之 前 还 需要 进行 一 项 工作 ， 


人 否则， 你 





的 系统 开机 会 花 掉 很 多 时 间 喔 ! 

[root@www ~]# hostname 

localhost.localdomain 

# 还 是 默认 值 ， 尚 未 更 新 成 功 ! 我 们 还 得 要 进行 底下 的 动作 ! 
# 检查 五 : 

看 看 你 的 主机 名 有 没有 对 应 的 I 了 P 呢 ? 没 有 的 话 ， 


开机 流程 会 很 慢 ! 








[root@www ~1# ping -c 2 www.centos.vbird 

PING www.centos.vbird (192.168.1.100) 56(84) bytes of data. 

64 bytes from www.centos.vbird (192.168.1.100): icmp_seq=1 ttl=64 
time=0.015 ms 

64 bytes from www.centos.vbird (192.168.1.100): icmp_seq=2 ttl=64 
time=0.028 ms 

--- WWW.Centos.vbird ping statistics --- 

2 packets transmitted, 2 received, 0% packet loss, time 1000ms 

rtt min/avg/max/mdev = 0.015/0.021/0.028/0.008 ms 

# 因为 我 们 有 设 定 /etc/hosts 规定 www.centos.vbird 的 IP， 
0 





要 ! 


上 面 的 信息 中 ， 检 查 的 内 容 总 共有 五 个 步骤 ， 这 五 个 步骤 每 一 步 都 要 成 


功 后 才能 够 继续 


往 下 处 理 喔 ! 至 于 最 重要 的 一 点 ， 当 你 修改 过 /etc/sysconfig/network 里 
面 的 


HOSTNAME 后 ， 务必 要 重新 启动 (reboot)。 但 是 重新 启动 之 前 ， 请 务 
必 『 ping 主机 


名 」 且 得 到 time 的 响应 才 行 ! 


4.2.2 自动 取得 IP 参数 (DHCP 方法 ， 适 用 Cable modem、IP 分 享 器 的 环 
境 ) 
可 自动 取得 IP 的 环境 是 怎么 回 事 啊 ?不 是 很 简单 吗 ? 当 你 在 IP 分 享 器 


后- 的 


主机 在 设 定时 ， 不 是 都 会 选择 『 上 自动 取得 IP 」 吗 ? 那 就 是 可 自动 取得 
IP 的 环境 啦 ! 


那么 这 个 自动 取得 是 怎么 回 事 啊 ?也 不 难 了 解 啦 ， 其 实 就 是 『 有 一 部 主 
机 提供 DHCP 服 


务 给 整个 网 域内 的 计算 机 」 束 是 了 ! 例如 ” IP ”分享 占 就 可 能 是 一 部 
DHCP 主机 。 那 么 

















DHCP 是 喻 ? 他 是 : Dynamic Host Configuration Protocol 的 简写 ， 顾 名 
思 义 ， 他 可 


以 『 动 态 的 调整 主机 的 网 络 参 数 」 的 意思 。 详 细 的 DHCP 功能 我 们 会 在 
第 十 二 章 说 明 的 。 


好 了 ， 那 么 这 个 方法 适合 哪些 联机 的 方式 呢 ? 大 致 有 这 些 : 
Cable Modem: 就 是 使 用 电视 缆 线 进行 网 络 回路 联机 的 方式 啊 ! 


ADSL 多 IP 的 DHCP 制 : 就 乌 哥 所 知 ， SeedNet 有 推出 一 种 项 目 ， 
可 以 


让 ADSL 用 户 以 DHCP 的 方式 来 自动 取得 IP ， 不 需要 拨 接 。 那 使 用 的 











也 是 这 种 
方法 ! 
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IP 分 享 器 或 NAT 有 架设 DHCP 服务 时 : 当 你 的 主机 位 于 IP 分 享 器 
的 后 端 ， 


或 者 是 你 的 LAN 当中 有 NAT 主机 且 NAT 主机 有 架设 DHCP 服务 时 ， 
那 取得 


IP 的 方法 也 是 这 样 喔 ! 


你 依旧 需要 前 一 小 节 手 动 设 定 IP 的 主机 名 设 定 (第 三 步骤 )， 人 至 于 IP 参 
数 与 


DNS 则 不 需要 额外 设 定 ， 仪 需要 修改 ifcfg-eth0 即 可 喔 ! 这 样 处 理 吧 : 








[root@www ~]# vim /etc/sysconfig/network-scripts/ifcfg-ethO0 
DEVICE=eth0 

HWADDR="08:00:27:71:85:BD" 

NM _ CONTROLLED="no" 

ONBOOT=yes 

BOOTPROTO=dhcp 


没 凋 你 喔 ! 只 要 这 几 个 项 目 即 可 ， 其 他 的 都 给 他 批注 圾 挥 ! 无 其 是 那 





个 GATEWAY 一 

定 不 能 设 定 ! 避免 互相 干扰 ! 然后 给 他 重新 局 动 网 络 : 

[root@www ~|]# /etc/init.d/network restart 

Shutting down interface eth0: [ OK ] <== 先 关 闭 界面 

Shutting down loopback interface: [OK ] 

Bringing up loopback interface: [ OK ] <== 再 开启 界面 

Bringing up interface eth0: [OK ] 

Determining IP information for eth0.. [ OK ] <== 重要 ! 是 DHCP 的 特 
点 ! 

# 你 可 以 透 过 最 后 一 行 去 判断 我 们 是 人 否 有 透 过 DHCP 协议 取得 IP! 


我 们 局 域 网 络 内 的 IP 分 享 器 或 DHCP 主机 ， 就 会 立刻 帮 你 的 Linux 主 
机 做 好 网 络 参 


数 的 规划 ， 包括 IP 参数 与 GATEWAY 等 ， 就 通通 设 定 妥当 啦 ! 很 方便 
也 很 简单 吧 ! 


Tips: 
基本 上 ，/etc/resolv.conf 预 设 会 被 DHCP 所 修改 过 ， 因 此 你 不 需 

要 修改 /etc/resolv.conf。 甚 至 连 主机 名 都 会 被 DHCP 所 修订 。 不 

过 ， 如 果 你 有 特殊 需求 ， 那 么 /etc/sysconfig/network 以 及 

/etc/hosts 请 自行 修改 正确 吻 ! 

4.2.3 ADSL 拨 接 上 网 (适用 台湾 ADSL 拨 接 以 及 光纤 到 大 楼 ) 
终于 来 到 台湾 最 热门 的 ADSL ” 拨 接 上 网 的 介绍 啦 ! 来 谈 一 谈 如 何在 








Linux 上 拨 接 


上 网 吧 ! 要 拨 接 上 网 时 ， 可 以 使 用 rp-pppoe 这 套 软 件 来 帮忙 ( 注 1)， 所 
以 ， 你 必须 


要 确认 你 的 Linux distributions 上 面 已 经 存在 这 个 玩意 儿 了 ! CentOS 本 
丑 束 含有 


rp-pppoe ， 请 使 用 原版 光盘 ， 或 者 是 使 用 yum 来 进行 安装 吧 ! 
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[root@www ~]# mount /dev/cdrom /mnt 

[root@www ~]# cd /mnt/Packages 

[root@www ~]# rpm -ivh rp-pppoe* ppp* 

[root@www ~]# rpm -gq rp-pppoe 
rp-pppoe-3.10-8.el6.x86_64 <== 你 瞧 瞧 ! 确实 已 经 安装 喔 ! 


当然 ， 很 多 _ distributions 都 已 经 将 拨 接 这 个 动作 归 类 到 图 形 接口 里 面 去 
了 ， 所 以 可 


能 没有 提供 rp-pppoe 这 个 略 噬 ， 没 关系 ， 你 可 以 到 底下 的 网 站 去 取得 
的 : 


http://www.roaringpenguin.com/pppoe/ 


http://freshmeat.net/projects/rp-pppoe/ 


然后 再 目 行 手动 安装 即 可 。 如 何 安 装 的 过 程 乌 哥 在 这 里 束 不 谈 了 ， 请 目 
行 前 往 基 础 


篇 的 原始 人 码 与 Tarball 章节 查阅 相关 资料 吧 。 另外 请 注意 ， 虽 然 整个 联 











机 是 由 主机 的 
以 太 网络 卡 连接 到 ADSL 调制 解 调 右 上 ， 人 然后 再 透 过 电话 线路 联机 到 


ISP 的 机 房 去 ， 
最 后 在 主机 上 以 rp-pppoe 拨 接 达成 联机 。 但 是 rp-pppoe 使 用 的 是 Point 


to Point 


(ppp) over Ethernet 的 点 对 点 协议 所 产生 的 网 络 接口 ， 因 此 当 你 顺利 的 拨 
接 成 功 之 后 ， 


会 多 产生 一 个 实体 网 络 接 口 『 ppp0 」 喔 ! 


而 由 于 ppp0 是 架构 在 以 太 网 络 卡 上 的 ， 你 必须 要 有 以 太 网 卡 ， 同 时 ， 
即使 拨 接 成 


功 后 ， 你 也 不 能 将 没有 用 到 的 eth0 关闭 喔 ! 注意 注意 ! 因此 ， 拨 接 成 
功 后 束 会 有 : 


内 部 循环 测试 用 的 lo 接口 ; 
网 络 卡 eth0 这 个 接口 ; 
拨 接 之 后 产生 的 经 由 ISP 对 外 连接 的 ppp0 接口 。 


里 然 ppp0 是 架构 在 以 太 网 卡 上 面 的 ， 但 上 头 这 三 个 接口 在 使 用 上 是 完 
全 独立 的 ， 


互 不 相干 ， 所 以 关于 eth0 的 使 用 上 ， 你 就 可 以 这 样 思 考 : 

这 张 网 络 卡 (假设 是 eth0) 有 接 内 部 网 络 (LAN): 
举例 来 说 ， 三 章 的 图 3.1-1 所 示 ， 也 就 是 说 ， 
你 的 ppp0 


可 以 连 上 Internet ， 但 是 内 网 则 使 用 eth0 来 跟 其 他 内 部 主机 联机 时 ， 那 
公 





你 的 IP 设 定 参数 : /etc/sysconfig/network-scripts/ifcfg-eth0 应 该 要 给 


Em IP 以 使 内 部 的 LAN 也 可 以 透 过 eth0 来 进行 联机 啊 ! 所 以 乌 


这 样 设 定 : 

[root@www ~]# vim /etc/sysconfig/network-scripts/ifcfg-eth0 
DEVICE=eth0 

BOOTPROTO=none 

NM CONTROLLED=no 

IPADDR=192.168.1.100 

NETMASK=255.255.255.0 
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ONBOOT=yes 


并 请 记得 一 件 事 情 ， 那 就 是 ，『 千 万 不 要 有 GATEWAY 的 设 定 ! 」， 
因为 ppp0 拨 


接 成 功 后 ， ISP 会 主动 的 给 予 ppp0 接口 一 个 可 以 连 上 Internet 的 default 


gateway ， 如 果 你 又 设 定 男 一 个 default gateway ， 两 个 网 关 可 能 会 造成 
你 的 


网 络 不 通 嘱 
这 部 主机 仅 有 连接 ADSL 调制 解 调 器 ， 并 没有 内 部 网 域 : 


如 果 这 部 Linux 主机 是 直接 连接 到 ADSL 调制 解 调 器 上 涉 ， 并 没有 任何 

内 部 主 

机 与 其 联机 ， 也 就 是 说 ， 你 的 eth0 有 没有 IP 都 没有 关系 时 ， 那 么 上 面 
YL 


、 


的 设 定 


当中 的 那个 『 ONBOOT=yes 」 直接 改 成 『 ONBOOT=no 上 就 好 了 ! 那 
拨 接 不 会 有 














问题 吗 ? 没关系 啊 ， 因 为 你 拨 接 局 动 ppp0 时 ， 系 统 会 主动 的 唤醒 eth0 
门 


” /人 
是 eth0 不 会 有 了 信息 就 是 了 。 


至 于 其 他 的 档案 请 参考 4.2.1 
啦 ， 拨 


接 之 前 ， 请 确认 你 的 ADSL 调制 解 调 需 (小 乌龟 ) 已 经 与 主机 联机 受 
当 ， 也 取得 账号 与 


密码 ， 也 安装 好 了 mp-pppoe ， 然 后 就 来 处 理 吧 ! 
1. 设 定 连接 到 ADSL 调制 解 调 器 那 张 网 卡 ( 暂 订 为 eth0) 


说 实在 的 ， 乌 哥 比 较 建议 将 内 外 网 域 分 的 清 清楚 楚 比 较 好 ， 所 以 ， 通 常 
我 都 是 主 


机 上 面 接 两 块 网 络 卡 ， 一 张 对 内 一 张 对 外 ， 对 外 的 那 张 网 卡 预 设 是 不 


启动 多 


(ONBOOT=no)。 考 虑 到 你 可 能 仪 有 一 张 网 卡 ， 那 么 乌 哥 也 会 给 你 建 
议 ， 直接 给 


eth0 一 个 私有 IP 接口 吧 ! 设 定 就 如 同 本 市 稍 早 提 到 的 那样 吃 ! 
2. 设 定 拨 接 的 账号 与 密码 


好 了 ， 那 么 开始 来 设 定 你 的 账号 与 密码 吧 ! 这 个 动作 只 要 在 第 一 次 建立 
账号 / 密 


码 时 处 理 即 可 ， 未 来 除非 账号 密码 改变 了 ， ”否则 这 个 动作 都 不 需要 重 
新 处 理 啦 ! 


0 


| 











看 看 ! ) 


[root@www ~]# pppoe-setup 

Welcome to the PPPoE client setup. First, I will run some checks on 
your System to make sure the PPPoE client is installed properly... 
LOGIN NAME (从 ISP 处 取得 的 账号 填 入 处 ) 

Enter your Login Name (default root): T1234567 


# 注意 啊 ! 这 个 账号 名 称 是 ISP 给 的 ， 其 中 如 果 是 SeedNet ， 输 入 如 
sb 


# 如 果 是 Hinet 的 话 ， 就 得 要 输入 usernameG@hinetnet， 后 面 的 主机 名 也 
本 
We. 


Prawa 


与 。 
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INTERFACE (ADSL 调制 解 调 器 所 接 的 网 卡 代号 ) 

Enter the Ethernet interface connected to the PPPoE modem 
For Solaris, this is likely to be something like /devhme0. 
For Linux, it will be ethX, where 'X' is a number. 

(default eth0): eth0 

Enter the demand value (default no): no 

DNS (就 填 入 ISP 处 取得 的 DNS 号 码 吧 ) 

Enter the DNS information here: 168.95.1.1 

Enter the secondary DNS server address here: <== 吞 无 第 二 部 就 按 enter 


PASSWORD (从 ISP 处 取得 的 密码 啊 ! ) 


Please enter your Password: <== 输 入 密码 两 次 ， 屏 幕 不 会 有 星 号 * 喔 ! 
Please re-enter your Password: 


USERCTRL (要 不 要 让 一 般 用 户 启动 与 关闭 ? 最 好 是 不 要 ! ) 





Please enter 'yes' (three letters, lower-case.) if you want to allow 


normal user to start or stop DSL connection (default yes): no 








FIREWALLING (防火 墙 方面 ， 先 取消 ， 用 上 自己 未 来 设 定 的 ) 

The firewall choices are: 

0 - NONE.: This script will not set any firewall rules. You are 
responsible 

for ensuring the security of your machine. You are STRONGLY 
recommended to use some kind of firewall rules. 

1- STANDALONE: Appropriate for a basic stand-alone web-surfing 
workstation 


2 - MASQUERADE: Appropriate for a machine acting as an Internet 
gateway 


foraLAN 


Choose a type of firewall (0-2): 0 





Start this connection at boot time (要 不 要 开机 立即 启动 拨 接 程序 ? ) 
Do you want to start this connection at boot time? 
Please enter no or yes (default no):yes 


** Summary of what you entered ** 


Ethernet Interface: eth0 

User name: T1234567 

Activate-on-demand: No 

Primary DNS: 168.95.1.1 

Firewalling: NONE 

User Control: no 
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Accept these settings and adjust configuration files (yn)? y 
Adjusting /etc/sysconfig/network-scripts/ifcfg-ppp0 
Adjusting /etc/resolv.conf 

(But first backing it up to /etc/resolv.conf.bak) 

Adjusting /etc/ppp/chap-secrets and /etc/ppp/pap-secrets 
(But first backing it up to /etc/ppp/chap-secrets.bak) 

(But first backing it up to /etc/ppp/pap-secrets.bak) 

# 上 面具 有 特殊 字体 的 档案 主要 功能 是 : 

# ifcfg-ppp0 : 亦 即 是 ppp0 这 个 网 络 接口 的 配置 文件 案 ; 


# resolv.conf : 这 个 档案 会 被 备份 后 ， 然 后 以 刚刚 我 们 上 面 输 入 的 DNS 
数 


据 取 代 ; 
# pap-secrets, chap-secrets: 我 们 输入 的 密码 就 放 在 这 里 ! 


这 样 设 定 就 成 功 啦 ! 很 简单 吧 ! 唯一 需要 注意 的 是 在 上 面 的 ”username 








那个 地 方 ， 


于 万 注意 ， 因为 hinet 与 seednet 的 设 定 是 不 一 样 的 ! 千 万 小 心 呢 ! 人 否 
则 会 


无 法 连 上 线 哆 ! 此 外 ， 由 于 我 们 在 未 来 还 会 有 firewall 的 建 置 ， 所 以 这 
里 不 


太 需 要 使 用 到 防火 墙 啦 ! 否则 也 可 能 无 法 连 上 Internet 哟 ! 另外 ， 注 意 
一 下 ， 





一 般 拨 接 需 要 的 身份 认证 机 制 透 过 的 是 chap 与 pap( 注 2)， 在 rp-pppoe 


这 


套 软件 中 ， 残 将 两 种 认证 机 制 所 需 的 数据 通通 记录 下 来 啦 ! 那 束 是 


chap-secrets, 
pap-secrets， 你 可 以 分 别 察看 两 个 档案 的 内 容 ， 束 知道 那 是 喻 鉴 吃 了 ! 


3. 透 过 adsl-start, pppoe-start 或 network restart 开始 拨 接 上 网 





启动 ADSL 的 方法 很 多 ， 通 常 鸟 哥 都 是 使 用 /etc/init.d/metwork restart 即 


可 处 理 ! 不 过 ， 如 果 发 生 一 些 不 明 的 错误 ， 也 可 以 使 用 pppoe-stop 关闭 
后 再 


以 pppoe-start 立即 局 动 拨 接 试看 看 。 


通常 比较 容易 出 问题 的 地 方 在 于 硬件 的 联机 情况 ， 请 先 确认 所 有 的 硬件 
联机 没有 

问题 喔 ! 通常 ， 如 果 你 使 用 小 乌龟 (ATU-R) 时 ， 请 使 用 跳 线 连接 网 络 
卡 与 ATU-R。 


另外 一 个 容易 出 错 的 地 方 在 于 输入 的 账号 与 密码 ， ”账号 与 密码 都 是 你 
的 ISP 给 








nl 


你 的 ， 并 且 注 意 大 小 写 ( 可 以 到 /etc/ppp/{chap,pap}-secrets 察看 一 下 是 盏 
设 


定 错误 ? ) 
4. 开始 检查 的 步 又 : 


上 面 的 步骤 搞定 就 可 以 连 上 Internet 了 。 如 果 担 心 设 定 方面 有 问题 ， 可 


手动 设 定 IP 的 那个 小 节 的 五 个 步骤 去 检查 看 看 ， 指令 分 别 是 : 











[root@www ~]# ifconfig 

[root@www ~]# route -na 

[root@www ~]#ping GW 的 IP 
[root@www ~]# dig www.google.com 
[root@www ~]# hostname 
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0 


比较 特殊 的 是 ， 因 为 ADSL 拨 接 是 透 过 点 对 点 (ppp) 协议 ， 所 谓 的 点 对 
点 ， 聘 


是 你 的 ppp0 直接 连接 到 ISP 的 某 个 点 (IP) ， 所 以 ， 理 论 上 ，ppp0 是 个 
独 





了 并 的 IP ， 并 没有 子 网 ! 因此 ， 当 你 察看 ppp0 的 网 络 参数 时 ， 他 会 变 成 
这 样 : 


[root@www ~]# ifconfig pppO 
ppp0 Link encap:Point-to-Point Protocol 
inet addr:111.255.69.90 P-t-P:168.95.98.254 


Mask:255.255.255.255 


UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1 
RX packets:59 errors:0 dropped:0 overruns:0 frame:0 

TX packets:59 errors:0 dropped:0 overruns:0 carrier:0 

collisions:0 txqueuelen:3 

RX bytes:7155 (6.9 KiB) TX bytes:8630 (8.4 KiB) 


如 上 所 示 ， 那 个 inet addr 就 是 你 的 卫 ， 而 P-t-P 就 是 Gateway 的 意思 
啦 ! 





你 也 会 看 到 ， Mask 是 255.255.255.255 哩 ! 没有 子 网 哟 ! 要 仔细 看 清 
示 木 哩 | 
人 已 


5. 取消 拨 接 功能 (Option) 


如 果 你 明明 没有 ADSL 联机 ， 但 是 却 作 了 上 面 的 动作 ， 那 么 得 要 注意 


次 重新 局 动 网 络 都 会 花 很 多 时 间 在 侦 测 ADSL 调制 解 调 器 上 。 上 所 以 哆 ， 
我 们 得 要 


修改 ppp0 的 配置 文件 才 行 。 动 作 很 简单 ， 将 
/etc/sysconfig/network-scripts/ifcfg-ppp0 内 的 ONBOOT 改 成 no， 然后 进 
行 : 

[root@www ~]# vim /etc/sysconfig/network-scripts/ifcfg-ppp0 
DEVICE=ppp0 

ONBOOT=no 

…( 其 他 省 略 )..… 


[root@www ~]# chkconfig pppoe-server off 


很 快 的 ， 这 样 你 就 已 经 做 好 ADSL 拨 接 上 网 的 动作 了 ! 很 快乐 吧 ! 但 是 
不 要 怎 记 了 ， 你 


的 主机 大 还 没有 更 新 (update) 系统 ， 恐 介 资 安 方 面 会 有 些 问 题 哩 ! 所 
以 ， 赶 紧 往 下 两 


个 章节 读 读 去 ! 
4.3 无 线 网 络 -- 以 笔记 本 电脑 为 例 


0 实体 RJ-45 线路 来 连接 网 络 之 外 ， 由 于 现在 笔记 本 电脑 渐渐 广 


此 在 笔记 本 电脑 上 面 的 无 线 网 络 (Wireless Local Area Network, 
WLAN) 也 越 来 越 
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NM AP ADSL 数据 次 


重要 哆 一 针对 无 线 网 络 所 提出 的 标准 中 ， 嘻 期 是 IEEE 802.11b / 802.118 


较为 重要 ， 


其 中 802.11g 这 个 标准 的 传输 速度 已 经 可 以 达到 54Mbps 的 水 平 。 不 
过 ， 近 期 以 来 还 


有 新 的 标准 ， 那 就 是 802.11n ( 注 3) ， 这 个 标准 的 理论 传输 速度 甚至 可 
达 300Mbps 哩 ! 


所 以 哩 ， 我 们 也 得 稍微 介绍 一 下 无 线 网 络 啦 ! 

Tips: 

无 线 网 络 的 机 制 非常 多 ， 我 们 现在 常 听 到 的 主要 有 Wi-Fi (可 想 成 
是 802.11 相关 标准 ) 以 及 WiMAX (802.16, 注 必 等 ， 在 底下 我 
们 主要 介绍 的 是 目前 使 用 较 广泛 的 Wi-Fi 相关 无 线 网 卡 喔 ! 可 不 要 
搞 错 吕 ! 

4.3.1 无 线 网 络 所 需要 的 硬件 : AP、 无 线 网 卡 


道 在 RJ-45 的 以 太 网 络 联机 环境 中 ， 以 switch/hub 以 及 网 络 卡 与 
网 络 线 


最 重要 ， 该 架构 中 主要 以 switch/hub 串 接 所 有 的 网 络 设备 。 那 么 在 无 线 
网 络 中 ， 当 然 


也 需要 一 个 接收 讯号 的 装置 ， 那 融 是 无 线 基地 台 (Wireless Access Point, 
简称 AP) 


了 ! 必 一 个 朔 置 当然 束 是 安装 在 计算 机 主机 上 面 的 无 线 网 卡 吃 ! 


其 实 无 线 基地 台 本 喘 就 是 个 IP 分 享 器 了 ， 他 本 号 会 有 两 个 接口 ， 一 个 
可 以 与 外 部 


的 卫 做 沟通 ， 另 外 一 个 则 是 作为 LAN 内 部 其 他 主机 的 GATEWAY 
哆 ! 那 其 他 主机 上 面 


只 要 安装 了 无 线 网 卡 ， 并 且 顺 利 的 连 上 AP 后 ， 目 然 束 可 以 透 过 AP 来 
连 上 Internet 








啦 ! 整个 传输 的 情况 可 以 用 下 图 来 示意 : 
图 4.3-1、 无 线 网 络 的 联机 图 标 


在 上 图 中 ， 我 们 假设 PC A 与 PC B 这 两 部 主机 都 有 安装 无 线 网 卡 ， 因 
此 他 们 可 以 


扫 瞄 到 局 域 网 络 内 的 AP 存在 ， 所 以 可 以 透 过 这 个 AP 来 连 上 Internet 
啊 。 在 不 考虑 


内 部 LAN 联机 的 情况 下 ，AP 如 何 连 上 Internet 呢 ? 虽然 每 部 AP 的 控 
制 接 口 都 不 相 


同 ， 不 过 绝 大 部 分 的 AP 都 是 提供 Web 接口 来 设 定 的 ， 因 此 你 可 以 参考 
每 部 AP 的 说 


明 书 来 进行 设 定 ， 在 这 里 乌 哥 就 不 多 说 了 。 
乌 哥 器 以 手边 有 的 设备 来 说 明 这 个 项 目 ， 使 用 的 设备 如 下 : 
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AP : TP-Link (TL-WR941ND) 
USB 的 无 线 网 卡 ， D-Link (DWA-140)， 使 用 RT3070sta 驱动 程序 


比较 姜 惨 的 是 ，CentOS 6.x 预 设 不 支持 DWA-140 这 个 USB 的 无 线 网 
卡 ， 因 此 原 


本 我 们 还 得 要 自行 手动 下 载 USB 无 线 网 卡 的 驱动 程序 才 行 ! 更 怪 的 
是 ， 我 们 的 核心 侦 











到 的 模块 十 rt2870sta， 但 实际 上 该 硬件 使 用 的 是 rt3070sta 模块 ... 为 了 
这 个 ， 


搞 了 乌 哥 两 、 三 天 的 时 间 去 解决 问题 .还 好 ， 由 世界 上 热心 的 网 友 回 报 
支持 Linux 的 


无 线 网 卡 网 站 说 明 ， 发 现 这 只 USB 是 支持 Linux 的 喔 ! 如 下 网 址 所 
示 。 而 且 ， 已 经 有 


这 个 网 卡 编译 成 CentOS 6.x 可 以 使 用 的 RPM 档案 吃 ! 相关 网 址 
明证 


网 友 们 热心 提供 : 





http://linux-wless.passys.nl/query part.php?brandname=D-Link 
帮 我 们 打包 成 RPM 的 公司 :_http:/rpm.pbone.net/index.php3 








乌 哥 最 终 由 上 面 第 二 个 网 址 下 载 的 两 个 档案 
kmod-rt3070sta-2.5.0.1-2.el6.elrepo.x86_64.rpm, 


rt2870-firmware-22-1.el6.elrepo.noarch.rpm。 鸟 哥 将 他 放置 于 /root 底 
下 ， 0 


下 再 来 安装 。 

Tips: 

这 张 USB 无 线 网 卡 让 乌 哥 搞 到 一 个 头 两 个 大 ! 基本 上 ，Linux 核心 
预 设 不 支持 的 设备 ， 建 议 不 要 购买 啦 ! 否则 很 难处 理 ! 乌 哥 党 得 这 
个 DWA-140 感 党 就 是 张 恶 魔 卡 一 好 怪 一 好 难 搞 .… 

4.3.2 关于 AP 的 设 定 : 网 络 安全 方面 





如 果 你 留心 一 下 图 4.3-1 ， 那 么 就 可 以 发 现 一 件 事 情 ， 那 就 是 ，『 如 果 
AP 不 设 


定 任何 联机 限制 ， 那 任何 拥有 无 线 网 卡 的 主机 都 可 以 透 过 这 个 AP 连接 
上 你 的 LAN |」， 


要 知道 ， 通 常 我 们 都 会 认为 LAN 是 信任 网 域 ， 所 以 内 部 是 没有 防火 墙 
的 ， 亦 即 是 不 设 


防 的 状态 ， 呵 呵 ! 如 果 刚 好 有 人 拿 着 笔记 本 电脑 经 过 你 的 AP 可 以 接收 
讯 写 的 范围 ， 


那么 他 就 可 以 轻易 的 透 过 你 的 AP 连接 上 你 的 LAN ， 并 且 可 以 透 过 你 
的 AP 连 上 


Internet ， 如 果 他 刚好 是 个 喜欢 搞 破坏 的 cracker ， 哈哈 ! 那么 当 他 使 用 
你 的 AP 去 


攻击 别人 时 ， 最 后 被 发 现 的 跳板 是 谁 ? 当然 是 你 的 AP! 那 是 谁 会 吃 上 
官司 ? 够 清楚 了 


吧 ? 而 且 你 内 部 主机 的 数据 也 很 有 可 能 被 禄 取 啊 ! 


所 以 啦 ， 『 无 线 网 络 的 安全 性 一 定 是 具有 很 大 的 漏洞 的 】， 没 办 法 ， 


络 的 传输 并 不 是 透 过 实体 的 网 络 线 ， 而 是 透 过 无 线 讯 号 ， 实 体 网 络 线 很 
好 控制 ， 无 线 讯 


号 你 如 何 侦 测 啊 ? 对 吧 ! 因此 ， 请 你 务必 在 你 的 AP 上 面 进行 好 联机 的 
限制 设 定 ， 


般 可 以 这 样 做 限制 的 : 
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在 AP 上 面 使 用 网 卡 卡号 (MAC) 来 作为 是 否 可 以 存 取 AP 的 限制 : 
如 此 一 来 ， 就 只 有 你 允许 的 网 络 卡 才 能 够 存 取 你 的 AP ， 当 然 会 安全 不 











这 个 方法 有 个 问题 ， 那 就 是 当 有 其 他 主机 想 要 透 过 这 个 AP 联机 时 ， 你 


束 得 要 


手动 的 登入 AP 去 进行 MAC 的 设 定 ， 在 经 常 有 变动 性 装置 的 环境 中 
(例如 公司 


号 或 学 校 )， 这 个 方法 比较 肤 烦 ~ 
设 定 你 的 AP 联机 加 密 机 制 与 密 铀 : 


为 一 个 比较 可 行 的 办 法 就 是 设 定 联机 时 所 需要 的 验证 密 钥 ! 这 个 密 钥 不 
但 可 以 在 


0 中 加 密 ， 使 得 即使 你 的 数据 被 鳃 听 ， ”对 方 也 是 仅 能 
得 到 一 堆 


人 同时 由 于 client 端 也 需要 知道 密 钥 并 且 在 联机 阶段 输入 密 钥 ， 
此 也 








可 以 被 用 来 限制 可 联机 的 用 户 啊 ! 


当然 ， 上 面 两 种 方法 你 可 以 同时 设 定 ， 亦 即 不 但 需要 联机 的 密 钥 ， 而 且 
在 AP 处 也 


设 定 能 够 存 取 的 MAC 网 卡 ， 嘿嘿 ! 这 样 一 来 ， 就 更 安全 的 多 了 ( 注 
5)。 底 下 让 我 们 来 


介绍 一 下 AP 里 面 经 常 要 了 解 的 数据 ， 那 就 是 ESSID/SSID 吕 ! 


关于 ESSID/SSID : 


想 一 想 ， 如 果 你 有 两 部 AP 在 同一 个 局 域 网 络 内 ， 那 么 请 问 一 下 ， 当 你 
的 无 线 网 卡 


在 上 网 时 ， 他 会 透 过 哪 一 个 AP 联机 出 去 呢 ? 很 困扰 ， 对 吧 ! 其 实 每 部 


AP 都 会 有 一 个 


联机 的 名 字 ， 那 就 是 SSID 或 ESSID， 这 个 SSID 可 以 提供 给 client 端 ， 
当 dlient 


端 需要 进行 无 线 联 机 时 ， 他 必须 要 说 明 他 要 利用 哪 一 部 “AP 
ESSID 就 是 那 时 需 


要 输入 的 数据 了 ! 在 乌 哥 的 案例 当中 ， 我 将 我 的 AP 设 定 为 vbird_tsai 
这 个 和 名字， 并 


且 给 予 一 个 密 钥 密码 ， 设 定 的 方法 如 同 下 图 所 示 : 


时 那个 
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TP-LINK 


基 品 状 台 
快速 安装 精 委 
Qss 
后 路 必定 

得 挤 剩 路 


把 可 网 路 设 定 





乱 缚 钥 路 名 拜 (SSID): 








地 区 : 
- 提醒 : 。。。 薄 您 温 择 正确 的 地 区 ，) 入 合 省 地 纸 斩 通 识 的 法 律 规定 < 

- 年 斩 蒋 路 加 密 役 定 不 正确 的 识 定 在 某 些 国家 犯法 ! 

.无 锦 笠 路 MAC 位 址 控制 1 2 

- 天 入 抹 路 进 阶 发 定 蜂 道 : | 自动 志 

- 各 斥 机 耻 谢 计 商标 模式 ， [使 用 11bgr 混 合 模式 ”到 

DHCP 各 用 过 频 洪 究 度 ， [自动 忆 

通 导 雹 等 向 (NAT) 最 高 上 传 束 率 : IMbe 


安全 性 起 定 

未 成 年 子 妇 上 括 管 理 

E 
固定 路 由 

锋 友 管 理 

ARP 狮 定 

DDNS 或 定 





记 和 萝 用 「 经 绵 锌 路 功能 ] 3 
[ 医用 「 扰 特 皇 路 名 称 { 
厂 敌 用 WDS 枉 接 





图 4.3-2、 无 线 网 络 AP 的 SSID 设 定 项 目 


如 上 图 ， 在 登入 了 AP 的 设 定 项 目 后 ， 依 序 (1) 先 选择 无 线 网 络 里 面 的 
[无 线 网 络 


设 定 」， 然 后 在 右边 的 窗口 当中 (2) 填写 正确 的 SSID 号 码 ， 然 后 按 下 
(3) 储 存 即 可 。 


之 后 就 是 密码 项 目 啦 ! 密码 项 目的 设 定 画 面 如 下 : 
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薪 路 唆 定 
et WPAWPA2 
- 天 择 捉 点 识 定 版 本 : | 自 蕾 壮 控 "| 
加 密 方式 。 |[ 白 勒 洪 控 ”| 
- 无 织 梨 路 加 AC 位 址 控 入 ' Ralus 何 服 露 了 P 位 址 : | 
- 择 称 拉 点 混 阶 丽 定 Radius 向 服 吉 使 用 通 弄 增 |1312 化 图 : 1.65535 ， 0 代表 预 讼 通讯 去 1812) 
. 无 斤 担 路 入 计 音 恕 Radius 密 西 : 
DHCP 何 服 器 租金 访 更 新 温 则 : [0 (以 秒 计算 ， 最 小 奸 况 30，0 代 表 不 更 新 ) 
通 忧 你 将 向 (NAT) 1 
安全 竹 没 定 @ WPA-PSKWPA2-PSK , 
未 成 年 子女 上 碍 管理 全 网 CT = 
抹 踏 使 用 栖 限 规则 管理 
加 密 方式 : AES - 
123455789aaa 
em / PSK 金 篇 (密码 ): 
ARP 壮 完 (他 可 以 欢 入 8.63 芝 的 ASCIREI0.SA-ZT3- 吉 区 8.54 位 的 16 进 位 码 |0.9IA-F1a- 舱 
DDNS 座 定 组 金 贸 更 新 油 期 : 。 [0 (以 黎 计算 ， 最 小 逢 并 30，0 代 表 不 更 新 ) 


系 久 工 具 





0 


图 4.3-3、 无 线 网 络 AP 的 密 钥 设 定 项 目 


我 们 先 选 择 (无 线 网 络 加 密 设 定 ， 然 后 在 右边 窗口 
PSK/WPA2-PSK 


的 加 密 方式 ， 然 后 (3) 输 入 加 密 的 密 钥 长 度 ， 乌 哥 这 里 填写 的 算 古 简单 
到 爆炸 的 密码 ， 


小 朋友 不 要 学 喔 ! 填 完 后 按 下 储存 即 可 。 


(2) 点 选 ”WPA- 








这 个 时 候 我 们 就 会 有 底下 两 


个 数据 : 
SSID: vbird_tsai 
密 钥 密码 : 123456789aaa 


这 仅 是 个 范例 说 明 ! AP 设 定 就 到 此 为 止 ， 如 果 您 的 设 定 有 不 同 的 地 
方 ， 请 目 行 碍 


询 您 AP 的 操作 手册 哆 ! 
4.3.3 利用 无 线 网 卡 开 始 联机 


无 线 网 卡 有 很 多 模式 ， 乌 哥 选 择 的 是 USB 无 线 网 卡 ， 所 以 想 要 知道 有 
没有 捉 到 这 


张 网 卡 ， 就 得 要 使 用 lsusb 来 检查 ， 如 果 核 心 预 设 不 支持 ， 还 得 要 自行 
编译 驱动 程序 


才 行 ! 如 前 所 述 ， 我 们 的 驱动 程序 已 经 捉 在 /root 夺 下 了 ! 
1. 检查 无 线 网 卡 的 硬件 装置 : 
使 用 USB 无 线 网 卡 的 检查 方式 如 下 : 














[root@www ~]# lsusb 

Bus 002 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub 
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Bus 001 Device 003: ID 07d1:3c0a D-Link System DWA-140 RangeBooster 
N Adapter(rev.B2) [Ralink RI2870] 

Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub 


# 是 有 捉 到 的 ! 只 是 ， 有 加 载 吗 ? 不 知道 呢 ! 继续 往 下 检查 看 看 ! 





2. 察看 模块 与 相对 应 的 网 卡 代 号 : (modinfo 与 iwconfig) 

知道 核心 侦 测 到 这 张 网 卡 ， 但 是 能 不 能 正确 的 加 载 模块 呢 ? 来 瞧 瞧 : 
[root@www ~]# iwconfig 

lo no wireless extensions. 


eth0 no wireless extensions. 


# 要 出 现 名 为 wlan0 之 类 的 网 卡 才 是 有 捉 到 喔 ! 所 以 没有 加 载 正 确 模 块 


啦 ! 


因为 没有 加 载 正 确 的 驱动 程序 ， 现 在 让 我 们 来 安装 刚刚 下 载 的 RPM 了 驱 
动 程序 吧 ! 


USB 拔 出 来 ， 然后 再 安装 RPM 档案 。 安 装 的 方法 不 要 说 你 忘 
记 了 ! 


[root@www ~]# rpm -ivh kmod-rt3070sta* rt2870-firmware* 
之 个 动作 会 进行 很 人 ， 似 乎 程序 在 侦 测 硬件 的 样子 ! 

# 这 个 吃 咯 做 完 之 后 ， 请 将 USB 网 卡 插入 USB 插 槽 吧 ! 

[root@www ~]# iwconfig 

lo no wireless extensions. 

eth0 no wireless extensions. 

ra0 Ralink STA 


“9 iwconfig 是 用 在 作为 无 线 网 络 设 定之 用 的 一 个 指令 ， 与 ifconfig 类 
以 ! 


i iwconfig 时 ， 如 果 有 发 现 上 述 的 特殊 字体 ， 那 就 代表 
该 区 





接口 使 用 的 是 无 线 网 卡 的 意思 啊 ! 虽然 有 时 你 会 看 到 无 线 网 卡 为 wlan0 


之 类 的 
代号 ， 不 过 这 张 网 卡 却 使 用 ra0 作为 代号 ， 插 有趣 的 ! 
3. 利用 iwlist 侦 测 AP : 


好 了 ， 接 下 来 要 王 嘛 ? 当然 是 看 看 我 们 的 无 线 网 卡 是 售 能 够 找到 AP 
啊 ! 所 以 ， 


首先 我 们 要 局 动 无 线 网 卡 ， 束 利用 ifconfig 即 可 : 





[root@www ~]# ifconfig ra0 up 


局 动 网 卡 后 才能 以 这 个 网 卡 来 搜寻 整个 区 域内 的 无 线 基地 台 啊 ! 接 下 
来 ， 直 接 使 


用 iwlist 来 使 用 这 个 无 线 网 卡 搜 寻 看 看 吧 ! 
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[root@www ~ ]# iwlist ra0 Scan 

ra0 Scan completed : 

Cell 01 - Address: 74:EA:3A:C9:EE:1A 
Protocol:802.11b/g/n 

ESSID:"vbird_tsai" 

Mode:Managed 

Frequency:2.437 GHz (Channel 6) 
Quality=100/100 Signal level=-45 dBm Noise 


level=-92 dBm 


Encryption key:on 

Bit Rates:54 Mb/s 

IE: WPA Version 1 

Group Cipher : CCMP 

Pairwise Ciphers (1) : CCMP 
Authentication Suites (1) : PSK 
IE: IEEE 802.11i/WPA2 Version 1 
Group Cipher : CCMP 

Pairwise Ciphers (1) : CCMP 
Authentication Suites (1) : PSK 
.…( 底 下 省 略 ).…. 

从 上 面 可 以 看 到 (1) 这 个 无 线 AP 的 协议 ， 并 且 也 能 够 知道 (2)ESSID 的 


名 号 是 


没 错 的 ! 当然 啦 ，(3) 连 加 密 的 机 制 是 WPA2-PSK 也 是 能 够 得 知 的 ! 这 
= 


节 的 AP 设 定 是 相符 合 的 ! (4) 使 用 的 无 线 频道 是 6 号 ， 接 下 来 呢 ? 就 得 
要 去 修 


改 配置 文件 ， 这 部 份 很 麻烦 ， 请 参考 如 下 的 网 页 来 设 定 : 





oO https://wiki.archlinux.org/index.php/Rt2870 


[root@www ~]# ifconfig ra0 down && rmmod rt3070sta 


[root@www ~]# vim /etc/Wireless/RT2870STA/RT2870STA .dat 


Default 

CountryRegion=5 

CountryRegionABand=7 

CountryCode=TW <== 人 台湾 的 国 码 代 号 ! 
ChannelGeography=1 

SSID=vbird_tsai <== 你 的 AP 的 ESSID 喔 ! 
NetworkType=Infra 

WirelessMode=9 <== 与 无 线 AP 文 持 的 协议 有 关 ! 

参考 上 述 网 址 说 明 

Channel=6 <== 与 CountryRegion 及 侦 测 到 的 频道 有 关 的 设 
定 ! 

.…( 中 间 省 略 )…. 
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AuthMode=WPAPSK <== 我 们 的 AP 提供 的 认证 模式 
EncrypType=AES <== 传 送 认证 人 码 的 加 密 机 制 啊 ! 
WPAPSK="123456780aaa" <== 密 钥 密 码 ! 最 好 用 双 引 号 括 起 来 较 佳 ! 
(底下 省 略 )…. 


ee 就 是 上 面 有 特别 说 明 的 地 方 ， 其 余 的 地 方 都 保留 
默 ; 


印 可 。 


# 更 奇怪 的 是 ， 每 次 ifconfig ra0 down 后 ， 这 个 档案 会 英名 其 妙 的 修改 








掉 

@_@ 

[root@www ~]# modprobe rt3070sta && ifconfig ra0 up 
[root@www ~]# iwconfig ra0 

ra0 Ralink STA ESSID:"vbird_ tsai" Nickname:"RT2870STA" 
Mode: Auto Frequency=2.437 GHz Access Point: 
74:EA:3A:C9:EE:1A 

Bit Rate=1 Mb/s 

RTS thr:off Fragment thr:off 

Encryption key:off 

Link Quality=100/100 Signal level:-37 dBm Noise level:-37 
dBm 

Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0 


Tx excessive retries:0 Invalid misc:0 Missed beacon:0 


2 那 就 表示 你 的 无 线 网 卡 已 经 与 AP 接 上 线 了 
一 再 来 则 


是 设 定 网 络 卡 的 配置 文件 嗓 ! 人 和信 
4. 设 定 网 络 卡 配置 文件 (ifcfg-ethn) 
因为 我 们 的 网 络 卡 使 用 的 代号 是 ra0， 上 所 以 也 是 需要 在 


/etc/sysconfig/network-scripts ” 设 定 好 相对 应 的 档案 才 行 啊 ! 而 由 于 我 们 
的 











所 以 很 多 设 定 值 都 与 原本 的 以 太 网 络 卡 不 
同 ， 让 细 


各 项 变量 设 定 你 可 以 自行 参考 一 下 抵 下 的 档案 : 





0 /etc/sysconfig/network-scripts/ifup-wireless 

至 于 我 的 网 络 卡 设 定 是 这 样 的 : 

[root@www ~]# cd /etc/sysconfig/network-scripts 
[root@www network-scripts]# vim ifcfg-ra0 
DEVICE=ra0 


BOOTPROTO=dhcp 





ONBOOT=no <== 知 需 要 每 次 都 目 动 后 动 ， 改 成 yes 即 可 ! 
ESSID=vbird tsali 
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Ni <== 可 以 严格 指定 传输 的 速率 ， 要 与 上 面 iwconfig 相同 ， 
立 


b/s 


要 注意 的 是 那个 ONBOOT=no 的 设 定 ， 如 果 你 想 要 每 次 开机 时 无 线 ， 


网 卡 都 会 目 


动 启动 ， 那 就 将 他 设 定 为 yes 吧 ! 否则 就 设 定 为 no 吵 ! 要 启动 再 以 
ifup ra0 


来 局 动 即 可 ! ” 呼 呼 ! 到 此 为 止 ， 你 的 无 线 网 卡 已 经 可 以 顺利 的 给 他 局 
动 了 喔 ! 


很 快乐 吧 ! 和信 





Tips: 
其 实 上 面 那个 配置 文件 的 内 容 都 是 在 规划 出 iwconfig 的 参数 而 

已 ， 所 以 你 除了 可 以 查阅 ifup-wireless 的 内 容 外 ， 可 以 man 

iwconfig ， 

会 知道 的 更 详细 喔 ! 而 最 重要 的 参数 当然 就 是 ESSID 及 

KEY 哆 ! 和 和 

5. 启动 与 观察 无 线 网 卡 

要 启动 束 用 ifup wlan0 来 启动 ， 很 简单 啦 ! 要 观察 就 用 iwconfig 及 


ifconfig 


分 别 观察 ， 底 下 你 目 己 瞧 瞧 就 好 啊 ! 和信 





[root@www ~]#ifup ra0 

Determining IP information for ra0... done. 

整个 流程 融 是 这 么 简单 喔 ! 一 般 来 说 ， 目 前 比较 常见 的 笔记 本 电脑 内 建 
的 Intel 无 线 


网 络 模块 (Centrino) 适用 于 Linux 的 ipw2200/ipw21000 模块 ， 所 以 设 定 
上 也 是 很 








快 ! 因为 CentOS 6.x 预 设 就 有 文 持 ， 你 不 必 重 新 安装 无 线 网 卡 驶 动 程 
序 ! 那 直 接 透 


过 上 述 的 方式 来 处 理 你 的 无 线 网 络 即 可 ! 很 快速 又 方便 吧 ! 本 章 结尾 的 


哥 还 是 列 出 许多 与 无 线 网 卡 有 关 的 连结 ， 你 可 以 目 行 前 往 碍 疝 与 你 的 无 
线 网 卡 有 关 的 信 


民 喔 ( 注 6)! 人 人 
4.4 和 常见 问题 说 明 


其 实 这 个 小 节 也 很 重要 的 ! 因为 可 以 让 你 在 念 完 理论 后 ， 了 解 一 下 如 何 
利用 那些 概 


9 你 的 网 络 设 定 问 题 呢 ! ”底下 我 们 就 针对 几 个 种 见 的 问题 来 说 
说 看 吧 ! 


4.4.1 内 部 网 域 使 用 某 些 联机 服务 (如 FTP, POP3) 所 遇 到 的 联机 延迟 问题 
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你 或 许 曾经 听 过 这 样 的 问题 : 『 我 在 我 的 内 部 区 域 网 域内 有 几 部 计算 
机 ， 这 几 部 


计算 机 明明 都 是 在 同一 个 网 域 之 内 ， 而 且 系 统 通通 没有 问题 ， 为 什么 我 
使 用 pop3 或 者 


古 ftp 连 上 我 的 Linux 主机 会 停顿 好 和 久 才 连 上 ? 但 是 连 上 之 后 ， 速 度 就 
又 恢复 正常 ! ] 


由 于 网 络 在 联机 时 ， 两 部 主机 之 间 会 互相 询问 对 方 的 主机 名 配合 的 ”IP 
， 以 确认 对 


方 的 身份 。 在 目前 的 因特网 上 面 ， 我 们 大 多 使 用 Domain Name System 
(DNS) 系统 做 


为 主机 名 与 IP 对 应 的 查询 ， 那 就 是 我 们 在 上 面 提 到 的 /etc/resolv.conf 档 











案 内 设 定 


的 IP 由 来 ， 如 果 没 有 指定 正确 的 DNS IP 的 话 ， 那 么 我 们 就 无 法 查询 
到 主机 名 与 卫 


的 对 应 了 。 


公开 的 因特网 可 以 这 样 设 定 ， 但 是 如 果 是 我 们 内 部 网 域 的 私有 IP 主机 
呢 ? 因为 


是 私有 IP 的 主机 ， 所 以 当然 无 法 使 用 /etc/resolv.conf 的 设 定 来 查询 到 这 
部 主机 的 


名 称 啊 ! ” 那 怎 么 办 ? 要 知道 ， 如 果 两 部 主机 之 间 无 法 查询 到 正确 的 主 
机 名 与 IP 的 对 


应 ， 那么 将 【可 能 上 发 生 持 续 碍 询 主 机 名 对 应 的 动作 ， 这 个 动作 一 般 


需要 持续 30-60 秒 ， 


因此 ， 你 的 该 次 联机 将 会 持续 检查 主机 名 30 秒 钟 ， 也 就 会 造成 奇怪 的 
delay 的 情况 。 


这 个 问题 最 常 发 生 在 内 部 的 LAN ， 例 如 使 用 192.168.1.1 的 主机 联机 到 


192.168.1.2 的 主机 。 这 个 问题 虽然 可 以 透 过 修改 软件 的 设 定 来 略 过 主 
机 名 的 检查 ， 


但 是 绝 大 多 数 的 软件 部 是 默认 局 用 这 个 机 制 的 ， ”因此 ， 内 部 主机 『 老 
是 联机 时 期 很 慢 ， 


联机 成 功 后 速度 就 会 恢复 正常 ] 时， 通常 就 是 这 个 问题 啦 ! 尤其 是 在 
FTP 及 POP3 等 


网 络 联机 软件 上 最 第 见 。 


那么 如 何 避 过 这 个 情况 ? 最 简单 的 方法 就 是 『 给 予 内 部 的 主机 每 部 主机 
一 个 名 称 与 


IP 的 对 应 」 即 可 。 举 例 来 说 ， 我 们 知道 每 部 主机 都 有 一 个 主机 名 为 




















localhost ， 对 应 


到 127.0.0.1 ， 为 什么 昵 ? 因为 这 个 127.0.0.1 与 localhost 的 对 应 就 被 写 
到 


/etc/hosts ”内 嘛 ! ” 当 我 们 需要 主机 名 与 IP 的 对 应 时 ， 系 统 束 会 先 到 
/etc/hosts 找 


寻 对 应 的 设 定 值 ， 如 果 找 不 到 ， 才 会 使 用 /etc/resolv.conf 的 设 定 去 因 特 
网 找 。 这 


样 说 ， 你 明白 了 吧 ? 也 就 是 说 ， 只 要 修改 了 /etc/hosts， 加 入 每 部 主机 
与 IP 的 对 应 ， 


就 能 够 加 快 主机 名 的 检查 吵 ! 


了 解 了 吗 ? 所 以 说 ， 你 就 要 将 你 的 私有 瑟 的 计算 机 与 计算 机 名 称号 入 
尔 毕 


/etc/hosts 当中 了 ! 这 也 是 为 啥 我 们 在 主机 名 设 定 的 地 方 ， 特别 强调 第 
五 个 检查 步骤 


的 缘故 。 我 们 来 看 一 看 /etc/hosts 原本 的 设 定 内 容 吧 ! 





[root@www ~]# cat /etc/hosts 

# Do not remove the following line, or various programs 
# that require network functionality will fail. 

127.0.0.1 localhost.localdomain localhost 

# 主机 的 卫 主机 的 名 称 主机 的 别名 


在 上 面 的 情况 中 很 容易 就 发 现 了 设 定 的 方法 了 吧 ! 很 简单 吧 ! 没 错 ! 那 
就 是 IP 对 应 主 


机 名 啦 ! 那么 现在 知道 为 什么 我 们 给 他 ping localhost 的 时 候 ， 地 址 会 
与 岂 





127.0.0.1 了 吧 ! 那 就 是 与 在 这 个 档案 中 的 啦 ! 而 且 localhost 那 一 行 不 
能 拿 掉 吻 ! 


否则 系统 的 茶 些 服务 可 能 就 会 无 法 被 局 动 ! 好 了 ! 那么 将 我 局 域 网 络 内 
的 所 有 的 计算 机 
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IP ”都 给 他 写 进去 ! 并 且 ， 每 一 部 给 他 取 一 个 你 喜欢 的 名 字 ， ”即使 与 
client 的 计算 机 


名 称 设 定 不 同 也 没关系 啦 ! ”以 马 哥 为 例 ， 如 果 我 还 额外 加 设 了 DHCP 
的 时 候 ， 那 么 我 


束 干 脆 将 所 有 的 C Class 的 所 有 网 段 全 部 给 他 写 入 /etc/hosts 当中 ， 有 点 
像 底下 这 


样 : 

[root@www ~]# vim /etc/hosts 

# Do not remove the following line, or various programs 
# that require network functionality will fail. 

127.0.0.1 localhost.localdomain localhost 

192.168.1.1 linux001 

192.168.1.2 linux002 


192.168.1.3 linux003 


192.168.1.254 linux254 


如 此 一 来 ， 不 论 我 哪 一 部 计算 机 连 上 来 ,不论 是 在 同一 个 网 段 的 哪 一 个 
IP ， 我 都 可 


以 很 快速 的 追查 到 ! 嘿嘿 ! 那么 区 内 网 络 互 连 的 时 候 ， 就 不 会 多 等 个 好 
儿 时 秒 钟 喝 ! 


4.4.2 网 址 列 无 法 解析 问题 


很 多 朋友 名 问 的 一 个 问题 『 喷 ! 我 可 以 拨 接 上 网 了 ， 也 可 以 ping 到 奇 
摩 雅虎 的 卫 ， 


但 为 何 就 是 无 法 直接 以 网 址 连 上 Internet 呢 ! 」 嘿 ! 被 气 死 ! 前 面 不 是 
一 直 强 调 那 


个 DNS 解析 的 问题 吗 ? 对 啦 ! 束 是 名 称 解 析 不 对 啦 ! 赶快 改 一 下 


/etc/resolv.conf 这 

em 改 成 上 层 ISP 给 你 的 DNS 主机 的 卫 就 可 以 啦 ! 例如 Hinet 
168.95.1.1 及 Seednet 的 139.175.10.20 嘿 ! 例如 底下 的 范例 (这 个 范例 就 
可 以 照抄 

TT! 人 人 A): 

[root@www ~]# vi /etc/resolv.conf 

nameserver 168.95.1.1 

nameserver 139.175.10.20 


朋友 们 常常 会 在 这 个 地 方 写 错 ， 因 为 很 多 书 上 都 说 这 里 要 设 定 成 为 
NAT 主机 的 IP ， 


那 根 本 束 是 不 对 的 ! 你 应 该 要 将 所 有 管理 的 计算 机 内 ， 关 于 DNS 的 设 








定 都 直接 使 用 上 
面 的 设 定 值 即 可 ! 除非 你 的 上 层 环境 有 使 用 防火 场 ， 那 才 另 外 考 压 ! 
4.4.3 预 设 路 由 的 问题 
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记得 我 们 在 前 两 章 提 到 的 网 络 基 础 当中 ， 不 是 讲 了 很 多 预 设 路 由 
(default 


gateway) 相关 的 说 明 吗 ? 预 设 路 由 通常 仅 有 一 个 ， 用 来 做 为 同一 网 域 的 
其 他 主机 传递 


非 本 网 域 的 封包 网 关 。 但 我 们 也 知道 在 每 个 网 络 配置 文件 案 


(/etc/sysconfig/network-scripts/ifcfg-ethx) 内 部 都 可 以 指定 『 GATEWAY 
」 这 个 








参数 ， 寿 这 个 参数 重复 设 定 的 话 ， 那 可 就 拱 烦 啦 ! 


举例 来 说 ， 你 的 ifcfg-eth0 用 来 做 为 内 部 网 域 的 沟通 ， 所 以 你 在 该 档案 


内 设 定 


GATEWAY 为 你 自己 的 卫 ， 但 是 该 主机 为 使 用 ADSL 拨 接 ， 所 以 当 拨 
接 成 功 后 会 产生 


一 个 ppp0 的 接口 ， 这 个 ppp0 接口 也 有 自己 的 default gateway ， 好 了 ， 
那么 当 你 


要 将 封包 传送 到 Yahoo 这 个 非 为 本 网 域 的 主机 时 ， 这 个 封包 是 要 传 到 


eth0 还 是 
ppp0 昵 ? 因为 两 个 都 有 default gateway 啊 ! 


很 多 朋友 就 是 这 里 搞 不 懂 啦 ! 常常 会 错乱 一 所 以 ， 请 注意 ， 你 
J default 








gateway 应 该 只 能 有 一 个 ， 如 有 果 是 拨 接 ， 请 不 要 在 ifcfg-eth0 当中 指定 
GATEWAY 或 


GATEWAYDEV 等 变量 ， 重 要 重要 ! 








4.5 重点 回顾 


Linux 以 太 网 络 卡 的 默认 代号 为 eth0, ethl 等 等 , 无 线 网 卡 则 为 wlan0， 


ra0 等 等 ; 








若 需 要 自行 编译 网 卡 驱 动 程序 时 ， 则 你 必须 要 先 安装 gcc, make， 
kernel-header 等 软件 。 

内 部 网 域 的 私有 卫 之 主机 的 『 IP 与 主机 名 的 对 应 ]， 最 好 还 是 写 入 
/etc/hosts ， 可 以 克服 很 多 软件 的 IP 反 查 所 花费 的 等 待 时 间 。 

IP 参数 设 定 在 /etc/sysconfig/network-scripts/ifcfg-eth0 当中 ， 主 机 


名 设 定 在 /etc/sysconfig/network 当中 ，DNS 设 定 在 /etc/resolv.conf 当 
中 ， 


主机 名 与 IP 的 对 应 设 定 在 /etc/hosts; 


在 GATEWAY 这 个 参数 的 设 定 上 面 ， 务 必 检 查 妥 当 ， 仅 设 定 一 个 
GATEWAY 即 


可 。 
可 以 使 用 /etc/init.d/network restart 来 重新 启动 整个 系统 的 网 络 接口 。 


若 使 用 DHCP 协议 时 ， 则 请 将 GATEWAY 取消 设 定 ， 避 免 重复 出 现 
多 个 


default gateway ， 反 而 造成 无 法 联机 的 状况 。 





ADSL 拨 接 后 可 以 产生 一 个 新 的 实体 接口 ， 名 称 为 ppp0 
无 线 网 卡 与 无 线 基 地 台 之 间 的 联机 由 于 是 透 过 无 线 接 口 ， 所 以 需要 特 


别 注意 

网 络 安全 ; 

0 ， 主 要 利用 控制 登入 者 的 MAC 或 
是 加 





上 联机 加 密 机 制 的 密 钥 等 方法 ; 
设 定 网 络 卡 可 以 使 用 ifconfig 这 个 指令 ， 而 设 定 无 线 网 卡 则 需要 
iwconfig ， 人 至 于 扫 瞄 基地 台 ， 可 以 使 用 iwlist 这 个 指令 。 
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4.6 本 章 习 题 


”我 要 如 何 确定 我 在 Linux 系统 上 面 的 网 络 卡 已 经 被 Linux 所 到 并 且 驱 


动 
Ta 


0 [ dmesglgrep eth 」 来 判断 ， 有 没有 了 驱动 
见 


可 以 使 用 lsmod 看 看 模块 有 没有 加 载 核心 ! 最 后 ， 以 ifconfig eth0 
192.168.0.10 测试 看 看 ! 





假设 我 的 网 络 参 数 为 : IP 192.168.100.100, Netmask 255.255.255.0, 请 


问 我 要 如 何在 Linux 上 面 设 定好 这 些 网 络 参 数 (未 提 及 的 网 络 参 数 请 目 
行 定 





义 ! )? 请 使 用 手动 与 档案 设 定 方法 分 别 说 明 。 

手动 设 定 为 : 『 ifconfig eth0 192.168.100.100 netmask 255.255.255.0 
up | 

档案 设 定 为 : vi /etc/sysconfig/network-scripts/ifcfg-eth0 ， 内 容 为 : 
DEVICE=eth0 

ONBOOT=yes 

BOOTPROTO=static 

IPADDR=192.168.100.100 

NETMASK=255.255.255.0 

NETWORK=192.168.100.0 

BROADCAST=192.168.100.255 要 启动 则 使 用 ifup eth0 即 可 ! 


我 要 将 我 的 Linux 主机 名 改名 字 ， 步 又 应 该 如 何 (更 改 那 个 档 采 ?如 
何 局 


用 


Linux 主机 名 在 /etc/sysconfig/network 这 个 档案 里 面 的 『HOSTNAME= 
主 


机 名 上 来 设 定 ， 先 以 vi 来 修改 ， 改 完 后 可 以 使 用 /etc/init.d/network 


restart 
不 过 建议 直接 reboot 启动 主机 名 ! 
/etc/resolv.conf 与 /etc/hosts 的 功能 为 何 ? 


以 主机 名 寻找 IP 的 方法 ， /etc/resolv.conf 内 填写 DNS 主机 名 ， 至 于 














/etc/hosts 则 直接 填写 主机 名 对 应 的 IP 即 可 ! 其 中 /etc/hosts 对 于 内 部 私 
有 IP 的 主机 名 查询 非常 有 帮助 ! 
ot ADSL 拨 接 连 上 Internet ， 请 问 拨 接 成 功 之 后 ， 我 的 Linux 上 








会 有 几 个 网 络 接口 (假设 我 只 有 一 个 网 络 卡 )? 
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0 PPP (点 对 点 ) 协 议 ， 所 以 拨 接 成 功 后 会 多 出 一 个 ppp0 

此 外 ， 系 统 原 本 即 有 eth0 及 lo 这 两 个 界面 ， 所 以 共有 三 个 界 
一 般 来 说 ， 如 果 我 拨 接 成 功 ， 也 取得 了 ppp0 这 个 接口 ， 但 是 却 无 法 

对 外 联 

机 成 功 ， 你 认为 应 该 是 哪里 出 了 问题 ?该 如 何 解决 ? 

ee 表示 物理 对 外 联机 没有 问题 ， 那 么 可 能 的 问题 应 该 是 


在 Gateway 上 面 了 ! 确认 的 方法 请 使 用 route -n 查阅 路 由 信息 ， 然 后 修 
订 


/etc/sysconfig/network-scripts/ifcfg-ethO 吧 ! 


如 果 你 的 局 域 网 络 环 境内 有 可 以 控 管 的 无 线 AP 时 ， 请 自行 查 出 如 何 
以 MAC 


的 方式 管理 可 登入 的 用 户 ， 并 将 你 的 无 线 AP 做 好 联机 加 密 的 密 钥 设 
定 。 


请 目 行 测试 ! 谢谢 ! 


如 果 一 部 主机 上 面 插 了 两 张 相同 忌 片 的 网 络 卡 ， 代 表 两 者 使 用 的 模块 


为 同一 


个 ， 此 时 可 能 会 造成 网 卡 代号 的 误 判 ， ”请 问 你 如 何 克 服 这 个 问题 ? 让 
网 上 代号 


不 会 变动 ? 
以 现在 的 方法 来 讲 ， 其 实 我 们 可 以 透 过 指定 Hardware Address( 便 件 地 
址 ， 





通称 为 MAC) 来 指定 网 卡 代号 与 MAC 的 对 应 。 这 个 设 定 值 可 以 在 
ifcfg-ethx 


里 面 以 HWADDR 这 个 设 定 项 目 来 指定 的 。 

如 何在 Linux 上 面 的 文字 接口 搜寻 你 所 在 区 域 的 无 线 AP ? 
透 过 直接 使 用 『 iwlist scan 」 这 个 指令 来 指定 某 个 无 线 网 卡 的 搜寻 ! 然 
后 再 以 iwconfig 来 进行 网 卡 的 设 定 即 可 ! 


ee 如 果 你 想 要 新 增 一 块 新 的 网 络 卡 在 你 的 主机 上 ， 并 给 予 
个 本 


定 的 私有 IP ， 应 如 何 进行 ? 

o 先 关 掉 主机 的 power ， 然 后 拆 掉 机 壳 ， 装 上 网 络 卡 ; 

o 开机 完成 后 ， 以 dmesg | grep eth 查询 是 否 可 捉 到 该 网 络 卡 ， 若 无 
Re 并 且 将 该 模块 与 网 














代号 写 入 /etcomodprobe.conf 当中 ， 以 利 未 来 开机 时 可 目 动 达成 对 应 ; 
0 利用 『 ifconfig "网 卡 代 号 " 」 来 得 询 MAC 为 何 ? 


o 开始 在 /etc/sysconfig/network-scripts 内 建立 ifcfg-" 网 卡 代 





号 " 档案 ， 同 时 给 予 HWADDR 的 对 应 ; 
0 启动 /etc/init.d/network restart 测试 是 否 能 成 功 ! 


如 果 你 想 要 登入 东 个 区 域 的 无 线 AP ， 你 应 该 问 该 处 所 至 少 申请 哪些 
数据 ? 


无 线 网 络 的 技术 相当 多 且 复 杂 ， 上 所 以 需要 取得 的 参数 都 不 尽 相 同 。 不 


过 ， 至 


少 你 还 是 得 要 取得 ESSID 以 及 KEY 密码 ， 这 样 才能 够 联机 登入 该 AP 
当中 。 
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4.7 参考 数据 与 延伸 阅读 











> 一 人 


注 1: rp-pppoe 官方 





站 : .roari uin.com/pppoe/ 





rp-pppoe 的 安装 方法 : 
http://linux.vbird.org/linux_ server/0130internet connect/0130internet 
connect.php#connect adsl 
注 2: 相关 的 认证 说 明 : 
chap: 
http://en.wikipedia.org/wiki/Challenge-handshake authentication proto 


col 


ap: http://en.wikipedia.org/wiki/Password authentication_protocol 
注 3: 802.11n 在 维基 百科 的 说 明 : 


http:/en.wikipedia.org/wikiIEEP 802.11n-2009 
注 4: Wi-Fi http://zh.wikipedia.org/zh-tw/WiFi 
WiMAX http://zh.wikipedia.org/wiki/ WiMAX?variant=zh-tw 
注 5: 无 线 网 络 安全 日 皮 书 : 
http://www.cert.org.tw/document/docfile/Wireless Security.pdf 
注 6: Intel Centrino 的 无 线 网 卡 相关 模块 信息 : 
http://ipw2100.sourceforge.net/, http://ipw2200.sourceforge.net/ 
HP 的 许多 无 线 网 络 的 计划 链接 : 
http:/www.hpl.hp.com/personal/Jean Tourrilhes/Linux/ 
2002/07/24: 首次 释 出 日 期 
2003/08/18: 重新 校正 ， 并 且 修 正 部 分 书写 方式 
2003/08/20: 新 增 课 后 练习 部 分 
2003/09/19: 加 入 前往 参考 用 解答 
2006/07/17: 将 原本 旧 文 章 移动 到 此 处 
2010/08/21: 将 原本 基于 CentOS 4.x 的 文章 移动 到 此 处 


2010/08/27: 由 于 目前 的 人 硬件 环境 不 同 了 ， 所 以 修改 了 无 线 网 络 的 处 理 
方式 | 


2010/08/28: 终于 修改 完毕 ! 在 无 线 网 卡 的 地 方 耽误 太 多 时 间 了 一 没有 
设备 啊 ! 


2011/07/15: 将 基于 CentOS 5.x 的 文章 移动 到 此 处 
2011/07/20: 有 人 够 难处 理 的 一 篇 文章 ! 尤其 是 无 线 网 络 的 环境 重 现 前 
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最 近 更 新 日 期 : 2011/07/18 


Linux 的 网 络 功能 相当 的 强悍 ， 一 时 之 间 我 们 也 无 法 完全 的 介绍 所 有 的 
网 络 指令 ， 这 个 半 市 主要 的 目的 


在 介绍 一 些 常见 的 网 络 指令 而 已 。 至 于 每 个 指令 的 详细 用 途 将 在 后 续 
服务 器 架设 时 ， 依 照 指 令 的 相关 性 


来 进行 说 明 。 当 然 ， 在 这 个 章节 的 主要 目的 是 在 于 将 所 有 的 指令 汇 整 在 
一 起 ， 比较 容易 了 解 啦 ! 这 一 章 


还 有 个 相当 重要 的 重点 ， 那 就 是 封包 搬 取 的 指令 。 知 不 熟悉 也 没关系 ， 
先 放 独 ， 全 部 读 完 后 再 回来 这 一 














章 仔 细 练 习 啊 ! 














: ifconfig, ifup, ifdown 





5.2.1 两 部 主机 两 点 沟通 : ping, 用 ping 追踪 路 径 中 的 最 大 MTU 数值 





5.3.1 终端 机 与 BBS 联机 : telnet 


5.3.2 FTP 联机 软件 ， ftp, lftp ( 目 动 化 脚本 ) 





5.4.1 文字 浏览 器 :，]inks 


5.4.2 文字 接口 给: wget 


5.5 封包 撤 取 功能 








5.5.1 文字 接口 封包 撒 取 器 : tcpdum 

5.5.2 图 形 接口 封包 搬 取 絮 : wireshark 

5.5.3 任意 启动 TCP/UDP 封包 的 塌 口 联机 : nc, netcat 
5.6 重点 回顾 

5.7 本 童 习题 





5.1 网 络 参数 设 定 使 用 的 指令 


任何 时 刻 如 果 你 想 要 做 好 你 的 网 络 参数 设 定 ， 包 括 IP 参数 、 路 由 参数 
与 无 线 网 络 


等 等 ， 束 得 要 了 解 底 下 这 些 相 关 的 指令 才 行 ! 其 中 以 ifconfig 及 route 
这 两 文 指 令 
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算是 较 重 要 的 喔 ! 和 人! 当然 ， 比 较 新 鲜 的 作法 ， 可 以 使 用 ip 这 个 汇 整 
的 指令 来 设 定 


IP 参数 啦 ! 
ifconfig : 查询 、 设 定 网 络 卡 与 卫 网 域 等 相关 参数 ; 


ifup，ifdown: 这 两 个 档案 是 script， 透 过 更 简单 的 方式 来 启动 网 络 接 
DD; 


route : 查询 、 设 定 路 由 表 (route table) 
ip : 复合 式 的 指令 ， 可 以 直接 修改 上 述 提 到 的 功能 ; 
5.1.1 手动 /自动 设 定 与 启动 /关闭 IP 参数 : ifconfig, ifup, ifdown 
这 三 个 指令 的 用 途 都 是 在 局 动 网 络 接口 ， 不 过 ， ifup 与 ifdown 仅 能 就 


/etc/sysconfig/network-scripts 内 的 ifcfg-ethX (X 为 数字 ) 进行 启动 或 关闭 
的 


动作 ， 并 不 能 直接 修改 网 络 参数 ， 除 非 手 动 调整 ifcfg-ethX 档案 才 行 。 
至 于 ifconfig 


则 可 以 直接 手动 给 予 茶 个 接口 IP 或 调整 其 网 络 参数 ! 搬 下 我 们 束 分 别 


来 谈 一 谈 ! 




















ifconfig 


ifconfig 主要 是 可 以 手动 的 局 动 、 观 穴 与 修改 网 络 接口 的 相关 参数 ， 可 


以 修改 的 
参数 很 多 啊 ， 包 括 卫 参数 以 及 MTU 等 等 都 可 以 修改 ， 他 的 语法 如 下 : 


[root@www ~]# ifconfig {interface} {upldown} <== 观察 与 启动 接口 





[root@www ~]# ifconfig interface {options} <== 设 定 与 修改 接口 
选项 与 参数 : 

interface: 网 络 卡 接口 代号 ， 包 括 eth0, eth1, ppp0 等 等 

options : 可 以 接 的 参数 ， 包 括 如 下 : 

up, down : 启动 (up) 或 关闭 (down) 该 网 络 接口 (不 涉及 任何 参数 ) 
mtu : 可 以 设 定 不 同 的 MTU 数值 ， 例 如 mtu 1500 (单位 为 byte) 
netmask : 就是 子 屏 菩 网 络 ; 

broadcast: 就 是 广播 地 址 啊 ! 

# 范例 一 : 观察 所 有 的 网 络 接口 (直接 输入 ifconfig) 

[root@www ~]# ifconfig 

eth0 Link encap:Ethernet HWaddr 08:00:27:71:85:BD 

inet addr:192.168.1.100 Bcast:192.168.1.255 

Mask:255.255.255.0 

inet6 addr: fe80::a00:27ff:fe71:85bd/64 Scope:Link 

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
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RX packets:2555 errors:0 dropped:0 overruns:0 frame:0 


TX packets:70 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:239892 (234.2 KiB) TX bytes:11153 (10.8 KiB) 


一 般 来 说 ， 和 直接 输入 ifconfig 就 会 列 出 目前 已 经 被 情 动 的 卡 ， 不 论 这 个 
卡 是 否 有 给 予 


IP， 都 会 被 显示 出 来 。 而 如 果 是 输入 ifconfig eth0， 则 仅 会 秀 出 这 张 接 
口 的 相关 数据 ， 


而 不 管 该 接口 是 否 有 局 动 。 所 以 如 果 你 想 要 知道 某 张 网 络 卡 的 Hardware 
Address， 直 


接 输入 『 ifconfig "网 络 接口 代号 " 」 即 可 喔 ! 人 和 人 人! 至 于 上 表 出 现 的 各 
项 数据 是 这 


样 的 (数据 排列 由 上 而 下 、 由 左 而 右 ): 

eth0: 就 是 网 络 卡 的 代号 ， 也 有 lo 这 个 loopback ; 

HWaddr: 就 是 网 络 卡 的 人 硬件 地 址 ， 俗 称 的 MAC 是 也 ; 

inet addr: IPv4 的 耳 地 址 ， 后 续 的 Bcast Mask 分 别 代 表 的 是 





Broadcast 与 netmask 喔 ! 
inet6 addr: 是 IPv6 的 版 本 的 IP ， 我 们 没有 使 用 ， 所 以 略 过 ; 
MTU: 就 是 第 二 章 谈 到 的 MTU 啊 ! 


RX: 那 一 行 代表 的 是 网 络 由 局 动 到 目前 为 止 的 封包 接收 情况 
packets 代 


表 封 包 数 、errors 代表 封包 发 生 错 误 的 数量 、 dropped 代表 封包 由 于 有 
问题 而 


遭 丢 弃 的 数量 等 等 





TX: 与 RX 相反 ， 为 网 络 由 局 动 到 目前 为 止 的 传送 情况 ; 


collisions: 代表 封包 倍 撞 的 情况 ， 如 果 发 生 太 多 次 ， 表示 你 的 网 络 状 
况 


不 太 好 ; 
txqueuelen: 代表 用 来 传输 数据 的 缓冲 区 的 储存 长 度 ; 
RX bytes, TX bytes: 总 接收 、 发 送 字 节 总 量 


透 过 观察 上 述 的 资料 ， 大 致 上 可 以 了 解 到 你 的 网 络 情况 ， 尤 其 是 那个 
RX, TX 内 的 


error 数量 ， 以 及 是 否 发 生 严 重 的 collision 情况 ， 都 是 需要 注意 的 喔 ! 


和 人 和 


# 范例 二 : 暂时 修改 网 络 接 口 ， 给 予 eth0 一 个 192.168.100.100/24 的 参 
数 


[root@www ~]# ifconfig eth0 192.168.100.100 
# 如 果 不 加 任何 其 他 参数 ， 则 系统 会 依照 该 耻 所 在 的 class 范围 ， 目 动 
的 


计算 出 

# netmask 以 及 network, broadcast 等 IP 参数 ， 若 想 改 其 他 参数 则 ; 
[root@www ~]#ifconfig eth0 192.168.100.100 \ 

> netmask 255.255.255.128 mtu 8000 

# 设 定 不 同 参数 的 网 络 接口 ， 同 时 设 定 MTU 的 数值 ! 
[root@www ~]#ifconfig etho mtu 9000 

# 仅 修 改 该 接口 的 MTU 数值 ， 其 他 的 保持 不 动 ! 


[root@www ~]# ifconfig eth0:0 192.168.50.50 
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人 eth0:0 喔 ! 那 就 是 在 该 实体 网 卡 上 ， 再 仿真 一 个 网 


器 ?9 
# 亦 即 是 在 一 张 网 络 卡 上 面 设 定 多 个 卫 的 意思 啦 ! 





[root@www ~]#ifconfig 

eth0 Link encap:Ethernet HWaddr 08:00:27:71:85:BD 

inet addr:192.168.100.100 Bcast:192.168.100.127 
Mask:255.255.255.128 

inet6 addr: fe80::a00:27ff:fe71:85bd/64 Scope:Link 

UP BROADCAST RUNNING MULTICAST MTU:9000 Metric:1 
RX packets:2555 errors:0 dropped:0 overruns:0 frame:0 

TX packets:70 errors:0 dropped:0 overruns:0 carrier:0 

collisions:0 txqueuelen:1000 

RX bytes:239892 (234.2 KiB) TX bytes:11153 (10.8 KiB) 

eth0:0 Link encap:Ethernet HWaddr 08:00:27:71:85:BD 

inet addr:192.168.50.50 Bcast:192.168.50.255 
Mask:255.255.255.0 

UP BROADCAST RUNNING MULTICAST MTU:9000 Metric:1 


# 仔细 看 ， 是 人 否 与 硬件 有 关 的 信息 都 相同 啊 ! 没 错 ! 因为 是 同一 张 网 卡 








嘛 ! 
# 那 如 果 想 要 将 刚刚 建立 的 那 张 eth0:0 关闭 就 好 ， 
不 影响 原 有 的 eth0 呢 ? 
[root@www ~]#ifconfig eth0:0 down 
# 关 掉 eth0:0 这 个 界面 。 那 如 果 想 用 默认 值 局 动 eth1: 
『ifconfig ethl up] 
即 可 达成 
# 范例 三 : 将 手动 的 处 理 全 部 取消 ， 使 用 原 有 的 设 定 值 重建 网 络 参数 : 
[root@www ~]# /etc/init.d/network restart 
# 刚刚 设 定 的 数据 全 部 失效 ， 会 以 ifcfg-ethX 的 设 定 为 主 ! 


使 用 ifconfig 可 以 暂时 手动 来 设 定 或 修改 东 个 适 配 卡 的 相关 功能 ， 并 且 
也 可 以 透 过 


eth0:0 这 种 虚拟 的 网 络 接口 来 设 定好 一 张 网 络 卡 上 面 的 多 个 IP 咀 ! 手动 
的 方式 真是 


简单 啊 ! 并 且 设 定 错误 也 不 打 紧 ， 因 为 我 们 可 以 利用 /etc/init.d/network 
restart 来 


重新 局 动 整个 网 络 接口 ， 那 么 之 前 手动 的 设 定数 据 会 全 部 都 失效 喔 ! 力 
外 ， 要 局 动 茶 


个 网 络 接口 ， 但 又 不 让 他 具有 IP 参数 时 ， 直 接 给 他 ifconfig eth0 up 即 
可 ! 这 个 


动作 经 党 在 无 线 网 卡 当中 会 进行 ， 因 为 我 们 必须 要 局 动 无 线 网 卡 让 他 去 
侦 测 AP 存在 与 


售 啊 ! 











ifup, ifdown 
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0 


实时 的 手动 修改 一 些 网 络 接口 参数 ， 可 以 利用 ifconfig 来 达成 ， 如 果 是 
要 直接 以 


配置 文件 ， 亦 即 是 在 /etc/sysconfig/network-scripts 里 面 的 ifcfg-ethx 等 
档案 


的 设 定 参数 来 局 动 的 话 ， 那 就 得 要 透 过 ifdown 或 ifup 来 达成 了 。 
[root@www ~]#ifup {interface} 

[root@www ~]#ifdown {interface} 

[root@www ~]#ifup eth0 


ifup 与 ifdown 真是 太 简单 了 ! 这 两 文 程序 其 实 是 script 而 已 ， 他 会 直接 
到 


/etc/sysconfig/network-scripts 目录 下 搜寻 对 应 的 配置 文件 ， 例 如 ifup eth0 
时 ， 


他 会 找 出 ifcfg-eth0 这 个 档案 的 内 容 ， 然 后 来 加 以 设 定 。 关于 ifcfg-eth0 
的 设 定 











则 请 参 和 大 所 = 全 说 昌 











由 于 这 两 文 程序 主要 是 搜寻 配置 文件 (ifcfg-ethx) 来 进行 局 动 与 关 
闭 的 ， 


所 以 在 使 用 前 请 确定 ifcfg-ethx 是 人 否 真 的 存在 于 正确 的 目录 内 ， 谷 则 会 
局 动 失败 喔 ! 














另外 ， 如 果 以 ifconfig eth0 … 来 设 定 或 者 是 修改 了 网 络 接口 后 ， 那 就 无 
法 再 以 


ifdown eth0 的 方式 来 关闭 了 ! 因为 ifdown 会 分 析 比 对 目前 的 网 络 参 数 


ifcfg-eth0 是 否 相 符 ， 不 符 的 话 ， 就 会 放弃 该 次 动作 。 因 此 ， 使 用 
ifconfig 修改 完 


毕 后 ， 应 该 要 以 ifconfig eth0 down 才能 够 关闭 该 接口 喔 ! 
5.1.2 路 由 修改 : route 


我 们 在 第 二 童 网 络 基 础 的 时 候 谈 过 关于 路 由 的 问题 ， ”两 部 主机 之 间 一 
定 要 有 路 由 

才能 够 互通 TCP/IP 的 协议 ， 人 否则 惑 无 法 进行 联机 啊 ! 一 般 来 说 ， 只 要 
有 网 络 接口 ， 该 


接口 就 会 产生 一 个 路 由 ， 所 以 我 们 安 闭 的 主机 有 一 个 eth0 的 接口 ， 看 
起 来 就 会 是 这 样 : 





[root@www ~}]# route [-nee] 
[root@www ~]# route add [-net|-host] [网 域 或 主机 ] netmask [mask] 
[gwldev] 

[root@www ~]# route del [-net|-host] [网 域 或 主机 ] netmask [mask] 
[gwldev] 

观察 的 参数 : 

-n : 不 要 使 用 通讯 协议 或 主机 名 ， 直 接 使 用 卫 或 port number; 
-ee : 使 用 更 详细 的 信息 来 显示 

增加 (add) 与 删除 (del) 路 由 的 相关 参数 : 


-net : 表示 后 面 接 的 路 由 为 一 个 网 域 ; 

-host : 表示 后 面 接 的 为 连接 到 单 部 主机 的 路 由 ; 

netmask : 与 网 域 有 关 ， 可 以 设 定 netmask 决定 网 域 的 大 小 ; 
gw : gateway 的 简写 ， 后 续 接 的 是 IP 的 数值 纽 ， 与 dev 不 同 ; 
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dev : 如 果 只 是 要 指定 由 那 一 块 网 络 卡 联机 出 去 ， 则 使 用 这 个 设 定 ， 
后 面 接 eth0 等 

# 范例 一 : 单纯 的 观察 路 由 状态 

[root@www ~]# route -n 

Kernel IP routing table 

Destination Gateway Genmask Flags Metric Ref 

Use Iface 

192.168.1.0 0.0.0.0 255.255.255.0U00 

0 eth0 

169.254.0.0 0.0.0.0 255.255.0.0 U 1002 0 

0 eth0 

0.0.0.0 192.168.1.254 0.0.0.0 UG 00 

0 eth0 

[root@www ~]# route 


Kernel IP routing table 


Destination Gateway Genmask Flags Metric Ref 
Use Iface 

192.168.1.0 * 255.255.255.0U00 

0 eth0 

link-local * 255.255.0.0 U 10020 

0 eth0 

default 192.168.1.254 0.0.0.0 UG 00 

0 eth0 


由 上 面 的 例子 当中 仔细 观察 route 与 route -n 的 输出 结果 ， 你 可 以 发 现 有 
加 -n 参 


数 的 主要 是 显示 出 IP ， 至 于 使 用 route 而 已 的 话 ， 显 示 的 则 是 『 主 机 
名 」 嘱 ! 也 就 


是 说 ， 在 预 设 的 情况 下 ， route 会 去 找 出 该 IP 的 主机 名 ， 如 果 找 不 到 


呢 ? 就 会 显示 


的 钝 钝 的 (有 扩 小 慢 )， 所 以 说 ， 马 哥 通 常 都 直接 使 用 route -n 啦 ! 由 上 
面 看 起 来 ， 


我 们 也 知道 default = 0.0.0.0/0.0.0.0 ， 而 上 面 的 信息 有 哪些 你 必须 要 知 
道 的 呢 ? 





Destination，Genmask: 这 两 个 玩意 儿 就 是 分 别 是 network 与 netmask 
啦 ! 


所 以 这 两 个 噬 吃 就 组 合成 为 一 个 完整 的 网 域 哆 ! 


Gateway: 该 网 域 是 通过 哪个 gateway 连接 出 去 的 ? 如 果 显 示 0.0.0.0 





示 该 路 由 是 直接 由 本 机 传送 ， 亦 即 可 以 透 过 局 域 网 络 的 MAC 
讯 ; 如果 有 


直接 传 


3 PP 的 话 ， 表 示 该 路 由 需要 经 过 路 由 霹 (通讯 闸 ) 的 帮忙 才能 够 传送 





Flags: 总 共有 多 个 旗 标 ， 代 表 的 意义 如 下 : 
0 U (route is up): 该 路 由 是 启动 的 ; 
oH (target is a host): 目标 是 一 部 主机 (IP) 而 非 网 域 ; 
o G (use gateway): 需要 透 过 外 部 的 主机 (gateway) 来 转 递 封包 ; 
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0 R (reinstate route for dynamic routing): 使 用 动态 路 由 时 ， 恢 
复 路 由 信息 的 旗 标 ; 
oD (dynamically installed by daemon or redirect): 已 经 由 服务 
或 转 port 功能 设 定 为 动态 路 由 
oM (modified from routing daemon or redirect): 路 由 已 经 被 修改 
本。 
0 ! (reject route): 
这 个 路 由 将 不 会 被 接受 (用 来 抵挡 不 安全 的 网 域 ! ) 

Iface: 这 个 路 由 传递 封包 的 接口 。 


此 外 ， 观 察 一 下 上 面 的 路 由 排列 顺序 喔 ， 依 序 是 由 小 网 域 
(192.168.1.0/24 是 








Class C)， 逐 渐 到 大 网 域 (169.254.0.0/16 Class B) 最 后 则 是 预 设 路 由 


(0.0.0.0/0.0.0.0)。 然后 当 我 们 要 判断 某 个 网 络 封 包 应 该 如 何 传送 的 时 
候 ， 该 封包 会 


经 由 这 个 路 由 的 过 程 来 判断 咀 ! ”举例 来 说 ， 我 上 头 仅 有 三 个 路 由 ， 和 大 
我 有 一 个 传 往 


192.168.1.20 的 封包 要 传递 ， 那 首先 会 找 192.168.1.0/24 这 个 网 域 的 路 
由 ， 找 到 了 ! 


所 以 直接 由 eth0 传送 出 去 ; 


如 果 是 传送 到 Yahoo 的 主机 呢 ? Yahoo 的 主机 IP 是 119.160.246.241， 
我 们 通 


过 判断 1) 不 是 192.168.1.0/24， 2) 不 是 169.254.0.0/16 结果 到 达 3)0/0 
时 ，OK! 


传 出 去 了 ， 透 过 eth0 将 封包 传 给 192.168.1.254 那 部 gateway 主机 啊 ! 
所 以 说 ， 路 


由 是 有 顺序 的 。 


因此 当 你 重复 设 定 多 个 同样 的 路 由 时 ， ”例如 在 你 的 主机 上 的 两 张 网 络 
卡 设 定 为 相 


同 网 域 的 他 时， 会 出 现 什么 情况 ?会 出 现 如 下 的 情况 : 





Kernel IP routing table 

Destination Gateway Genmask Flags Metric Ref 
Use Iface 

192.168.1.0 0.0.0.0 255.255.255.0U00 

0 eth0 


192.168.1.0 0.0.0.0 255.255.255.0U00 


0 eth1 


也 束 是 说 ， 由 于 路 由 是 依照 顺序 来 排列 与 传送 的 ， ”所 以 不 论 封 包 是 由 
那个 界面 (eth0， 


eth1) 所 接收 ， 都 会 由 上 述 的 eth0 传送 出 去 ， 所 以 ， 在 一 部 主机 上 面 设 
定 两 个 相同 


Re IP 本 身 没 有 什么 意义 ! 有 点 多 此 一 举 就 是 了 。 除非 是 类 似 虚 拟 
儿 (Xen, 


VMware 等 软件 ) 所 架设 的 多 主机 时 ， 才 会 有 这 个 必要 一 
# 范例 二 : 路 由 的 增加 与 删除 
[root@www ~|]# route del -net 169.254.0.0 netmask 255.255.0.0 dev eth0 


# 上 面 这 个 动作 可 以 删除 掉 169.254.0.0/16 这 个 网 域 ! 
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# 请 注意 ， 在 删除 的 时 候 ， 需 要 将 路 由 表 上 面 出 现 的 信息 都 写 入 
# 包括 netmask , dev 等 等 参数 喔 ! 注意 注意 

[root@www ~|]# route add -net 192.168.100.0\ 

> netmask 255.255.255.0 dev eth0 


# 透 过 route add 来 增加 一 个 路 由 ! 请 注意 ， 这 个 路 由 的 设 定 必须 要 能 够 
与 


你 的 网 络 互通 。 

# 举例 来 说 ， 如 采 我 下 达 撒 下 的 指令 就 会 显示 错误 : 

# route add -net 192.168.200.0 netmask 255.255.255.0 gw 192.168.200.254 
# 因为 我 的 主机 内 仅 有 192.168.1.11 这 个 IP ， 所 以 不 能 直接 与 
192.168.200.254 

# 这 个 网 段 直接 使 用 MAC 互通 ! 这 样 说 ， 可 以 理解 吗 ? 

[root@www ~]# route add default gw 192.168.1.250 

# 增加 预 设 路 由 的 方法 ! 请 注意 ， 只 要 有 一 个 预 设 路 由 就 够 了 喔 ! 

# 同样 的 ， 那 个 192.168.1.250 的 卫 也 需要 能 与 你 的 LAN 沟通 才 行 ! 


。 在 这 个 地 方 如 宋 你 随便 设 定 后 ， 记 得 使 用 底下 的 指令 重新 设 定 你 的 网 





# /etc/init.d/network restart 


如 果 是 要 进行 路 由 的 删除 与 增加 ， 那 束 得 要 参考 上 面 的 例子 了 ， 其 实 ， 
使 用 man route 


里 面 的 数据 束 很 丰富 了 ! 仔细 查阅 一 下 哆 ! 你 只 要 记得 ， 当 出 现 
[SIOCADDRT: Network 


is unreachable」 这 个 错误 时 ， 表 定 是 由 于 gw 后 面 接 的 IP 无 法 直接 与 你 
的 网 域 沟 


通 (Gateway 并 不 在 你 的 网 域内 )， 所 以 ， 赶 紧 检 查 一 下 是 否 输入 错误 


呵 ! 
Tips: 
一 般 来 说 ， 乌 哥 如 宋 接 触 到 一 个 新 的 环境 内 的 主机 ， 在 不 想 要 更 动 


原 系统 的 配置 文件 情况 下 ， 然 后 预计 使 用 本 书 的 网 络 环境 设 定时 ， 
手动 的 处 理 就 变 成 : 『ifconfig eth0 192.168.1.100; route add 
default gw 192.168.1.254」 这样 就 搞定 了 ! 直接 联网 与 测试 。 等 
到 完成 测试 后 ， 再 给 她 /etc/init.d/network restart 恢复 原 系统 
的 网 络 即 可 。 

5.1.3 网 络 参 数 综合 指令 : ip 


ip 是 个 指令 喔 ! 并 不 是 那个 TCP/IP 的 IP 啦 ! 这 个 ip 指令 的 功能 可 多 
了 二 全 


本 上 ， 他 就 是 整合 了 ifconfig 与 route 这 两 个 指令 虽 ~~ 不 过 ， ip 可 以 达 
成 的 功能 


却 又 多 更 多 ! 真是 个 相当 厉害 的 指令 。 如 采 你 有 兴趣 的 话 ， 请 自行 vi 
/sbin/ifup ， 


就 知道 整个 ifup 就 是 利用 ip 这 个 指令 来 达成 的 。 好 了 ， 如 何 使 用 呢 ? 
让 我 们 来 瞧 一 


瞧 先 ! 
[root@www ~]# ip [option] [动作 ] [指令 ] 


选项 与 参数 : 








net.qiang@hotmailcom 

option : 设 定 的 参数 ， 主 要 有 : 

-s : 显示 出 该 装置 的 统计 数据 (statistics)， 例 如 总 接受 封包 数 等 ; 
动作 : 亦 即 是 可 以 针对 哪些 网 络 参数 进行 动作 ， 包 括 有 : 

link : 关于 装置 (device) 的 相关 设 定 ， 包 括 MTU, MAC 地 址 等 等 


addr/address : 关于 额外 的 卫 协议 ， 例 如 多 IP 的 达成 等 等 ; 
route : 与 路 由 有 关 的 相关 设 定 


由 上 面 的 语法 我 们 可 以 知道 ， ip 除了 可 以 设 定 一 些 基 本 的 网 络 参 数 之 
外 ， 还 能 够 进行 


额外 的 IP 协议 ， 包 括 多 IP 的 达成 ， 真 是 太 完 美 了 ! 的 下 我 们 就 分 三 个 
部 分 (link, 


addr, route) 来 介绍 这 个 ip 指令 吧 ! 


关于 装置 接口 (device) 的 相关 设 定 : ip link 


ip link 可 以 设 定 与 装置 (device) 有 关 的 相关 参数 ， 包 括 MTU 以 及 该 网 
络 接口 


的 MAC 等 等 ， 当 然 也 可 以 司 动 (up) 或 关闭 (down) 某 个 网 络 接口 啦 ! 


整个 语法 是 这 
样 的 : 
[root@www ~]# 记 [-s] link show <== 单纯 的 查阅 该 装置 相关 的 信息 





[root@www ~]# ip link set [device] [动作 与 参数 ] 

选项 与 参数 : 

show: 仅 显 示 出 这 个 装置 的 相关 内 容 ， 如 果 加 上 -s 会 显示 更 多 统计 数 
据 ; 


et : 可 以 开始 设 定 项 目 ， device 指 的 是 eth0, eth1 等 等 界面 代号 ; 
动作 与 参数 : 包括 有 底下 的 这 些 动 作 : 
upldown : 启动 (up) 或 关闭 (down) 某 个 接口 ， 其 他 参数 使 用 默认 的 以 


太 网 络 ; 

address : 如 宁 这 个 装置 可 以 更 改 MAC 的 话 ， 用 这 个 参数 修改 ! 
name : 给 予 这 个 装置 一 个 特殊 的 名 字 ; 

mtu : 束 是 最 大 传输 单元 啊 ! 


# 范例 一 : 显示 出 所 有 的 接口 信息 








[root@www ~]# ip link show 


1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state 
UNKNOWN 


link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 


2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc 
pfifo_fast state UP glen 1000 


link/ether 08:00:27:71:85:bd brd ff:ff:ff:ff:ff:ff 


3: ethl: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN 
qlen 1000 


link/ether 08:00:27:2a:30:14 brd ff:ff:ff:ff:ff:ff 

4: sit0: <NOARP> mtu 1480 qdisc noop state DOWN 
link/sit 0.0.0.0 brd 0.0.0.0 
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[root@www ~]# ip -s link show eth0 


2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc 
pfifo_fast state UP glen 1000 


link/ether 08:00:27:71:85:bd brd ff:ff:ff:ff:ff:ff 


RX: bytes packets errors dropped overrun mcast 
314685 33540000 

TX: bytes packets errors dropped carrier collsns 
27200 1990000 


使 用 ip link show 可 以 显示 出 整个 装置 接口 的 硬件 相关 信息 ， 如 上 所 
示 ， 包 括 网 卡 地 


址 (MAC)、MTU 等 等 ， 比较 有 趣 的 应 该 是 那个 sit0 的 接口 了 ， 那 个 
sit0 的 界面 是 用 


4, 及 IPv6 的 封包 转换 上 的 ， 对 于 我 们 仅 使 用 IPv4 的 网 络 是 没有 
用 的 。 lo 


及 sit0 都 是 主机 内 部 所 自行 设 定 的 。 而 如 果 加 上 -s 的 参数 后 ， 则 这 个 
网 络 卡 的 相 


关 统 计 信息 残 会 被 列 出 来 ， 包括 接收 (RX) 及 传送 (TX) 的 封包 数量 等 
等 ， 详 细 的 内 


容 与 ifconfig 所 输出 的 结果 相同 的 。 
# 苑 例 二 : 启动 、 关 闭 与 设 定 装置 的 相关 信息 











[root@www ~]# ip link set eth0 up 

# 启动 eth0 这 个 装置 接口 ; 

[root@www ~]# ip link set eth0 down 

# 阿 就 关闭 啊 ! 简单 的 要 命 一 

[root@www ~]# ip link set eth0 mtu 1000 

# 更 改 MTU 的 值 ， 达 到 1000 bytes， 单 位 就 是 bytes 啊 ! 


更 新 网 络 卡 的 MTU 使 用 ifconfig 也 可 以 达成 啊 ! 没 啥 了 不 起 ， 不 过 ， 
如 果 是 要 更 改 


[网 络 卡 代号 、 MAC 地 址 的 信息 」 的 话 ， 那 可 就 得 使 用 ip 哆 一 个 过 ， 


设 定 前 可 能 得 

要 先 关 闭 该 网 络 卡 ， 人 否则 会 不 成 功 。 如 下 所 示 : 

# 范例 三 : 修改 网 络 卡 代 号 、MAC 等 参数 

[root@www ~]# ip link set etho name vbird 

SIOCSIFNAME: Device or resource busy 

# 因为 该 装置 目前 是 局 动 的 ， 所 以 不 能 这 样 做 设 定 。 你 应 该 要 这 样 做 : 


[root@www ~]# ip link set eth0 down <== 关 闭 界面 





[root@www ~]# ip link set eth0 name vbird <== 重 新 设 定 
[root@www ~]# ip link show <== 观 察 一 下 


2: vbird: < BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc 
pfifo_fast state UP glen 1000 


link/ether 08:00:27:71:85:bd brd ff:ff:ff:ff:ff:ff 

# 怕 了 吧 ! 连 网 络 卡 代号 都 可 以 改变 ! 不 过 ， 玩 玩 后 记得 改 回来 啊 ! 

# 因为 我 们 的 ifcfg-eth0 还 是 使 用 原本 的 装置 代号 ! 避免 有 问题 ， 要 改 回 
来 
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[root@www ~]# ip link set vbird name eth0 <== 界 面 改 回来 
[root@www ~]# ip link set eth0 address aa:aa:aa:aa:aa:aa 


[root@www ~]# ip link show eth0 


# 如 果 你 的 网 络 卡 支 持 硬件 地 址 (MAC) 可 以 更 改 的 话 ， 上 面 这 个 动作 束 
可 以 更 


改 


# 你 的 网 络 卡 地 址 了 ! 历 害 吧 ! 不 过 ， 还 是 那 名 老话， 测试 完 之 后 请 立 
刻 改 回 


来 啊 ! 


在 这 个 装置 的 硬件 相关 信息 设 定 上 面 ， 包 括 MTU,，MAC 以 及 传输 的 模 
式 等 等 ， 都 可 以 在 


这 里 设 定 。 有 趣 的 是 那个 address 的 项 目 ， 那 个 项 目 后 面 接 的 可 是 便 件 
地 址 (MAC) 而 


不 是 IP 喔 ! 很 容易 搞 错 啊 ! 切记 切记 ! 更 多 的 硬件 参数 可 以 使 用 man 
ip 查阅 一 下 


与 p link 有 关 的 设 定 。 


关于 额外 的 IP 相关 设 定 : ip address 

如 果 说 ip link 是 与 OSI 七 层 协定 的 第 二 层 资料 连 阶层 有 关 的 话 ， 那 么 
ip address (ip addr) 就 是 与 第 三 层 网 络 层 有 关 的 参数 啦 ! 主要 是 在 设 定 
与 JP 有关 的 


各 项 参数 ， 包 括 netmask, broadcast 等 等 。 











[root@www ~]# ip address show <== 就 是 查阅 IP 参数 啊 ! 
[root@www ~]#ip address [addldel] [IP 参数 ] [dev 装置 名 ] [相关 参数 ] 
选项 与 参数 : 

show : 单纯 的 显示 出 接口 的 卫 信息 啊 ; 


addldel : 进行 相关 参数 的 增加 (add) 或 删除 (del) 设 定 ， 主 要 有 : 

IP 参数 : 主要 就 是 网 域 的 设 定 ， 例 如 192.168.100.100/24 之 类 的 设 定 
喔 ; 

dev : 这 个 IP 参数 所 要 设 定 的 接口 ， 例 如 eth0, ethl 等 等 ; 

相关 参数 : 主要 有 底下 这 些 : 

broadcast: 设 定 广播 地 址 ， 如 果 设 定 值 是 + 表示 『 让 系统 目 动 计算 
label : 亦 即 是 这 个 装置 的 别名 ， 例 如 eth0:0 就 是 了 ! 

scope : 这 个 界面 的 领域 ， 通 和 是 这 几 个 大 类 ; 

gobal : 允许 来 自 所 有 来 源 的 联机 ; 

site : 仅 支 持 IPv6 ， 仅 允许 本 主机 的 联机 ; 

link : 仪 允 许 本 装置 自我 联机 ; 

host : 仅 人 允许 本 主机 内 部 的 联机 ; 

所 以 当然 是 使 用 global 嘿 ! 预 设 也 是 global 啦 ! 


# 范例 一 : 显示 出 所 有 的 接口 之 IP 参数 : 








[root@www ~]# ip address show 
net.giang(@hotmail.com 


1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state 
UNKNOWN 


link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 
inet 127.0.0.1/8 scope host lo 


inet6 ::1/128 scope host 


valid_ lft forever preferred_lft forever 


2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc 
pfifo_fast state UP glen 1000 


link/ether 08:00:27:71:85:bd brd ff:ff:ff:ff:ff:ff 

inet 192.168.1.100/24 brd 192.168.1.255 scope global eth0 
inet6 fe80::a00:27ff:fe71:85bd/64 scope link 

valid_ lft forever preferred_lft forever 


3: ethl: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN 
qlen 1000 


link/ether 08:00:27:2a:30:14 brd ff:ff:ff:ff:ff:ff 
4: sit0: <NOARP> mtu 1480 qdisc noop state DOWN 
link/sit 0.0.0.0 brd 0.0.0.0 


看 到 上 面 那个 特殊 的 字体 吗 ? 没 错 ! 那 就 是 IP 参数 啦 ! 也 是 ip address 
最 主要 的 功 


能 。 底下 我 们 进一步 来 新 增 虚拟 的 网 络 界 面试 看 看 : 

# 范例 二 : 新 增 一 个 接口 ， 名 称 假设 为 eth0:vbird 
[root@www ~]# ip address add 192.168.50.50/24 broadcast + \ 
> dev eth0 label eth0:vbird 

[root@www ~]# ip address show eth0 


2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc 
pfifo_fast state UP glen 1000 


link/ether 08:00:27:71:85:bd brd ff:ff:ff:ff:ff:ff 


inet 192.168.1.100/24 brd 192.168.1.255 scope global eth0 

inet 192.168.50.50/24 brd 192.168.50.255 scope global eth0:vbird 
inet6 fe80::a00:27ff:fe71:85bd/64 scope link 

valid_lft forever Preferred_jft forever 

# 看 到 上 面 的 特殊 字体 了 吧 ? 多 出 了 一 行 新 的 接口 ， 且 名 称 是 eth0:vbird 
# 至 于 那个 broadcast + 也 可 以 写成 broadcast 192.168.50.255 啦 ! 
[root@www ~]#ifconfig 

eth0:vbird Link encap:Ethernet HWaddr 08:00:27:71:85:BD 

inet addr:192.168.50.50 Bcast:192.168.50.255 

Mask:255.255.255.0 

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
# 如 果 使 用 ifconfig 就 能 够 看 到 这 个 怪 东 西 了 ! 可 爱 吧 ! 人 信 

# 范例 三 : 将 刚刚 的 界面 删除 

[root@www ~]# ip address del 192.168.50.50/24 dev eth0 


# 删除 就 比较 简单 啊 ! 和信 





net.qiang(Ohotmail.com 
关于 路 由 的 相关 设 定 : ip route 
这 个 项 目 当然 融 是 路 由 的 观察 与 设 定 吃 ! 事实 上 ， ip route 的 功能 几乎 


4 route 


这 个 指令 差不多 ， 但 是 ， 他 还 可 以 进行 额外 的 参数 设计 ， 例 如 MTU 的 


规划 等 等 ， 相 当 

的 强悍 啊 ! 

[root@www ~]# ip route show <== 单 纯 的 显示 出 路 由 的 设 定 而 已 
[root@www ~]# ip route [addldel] [IP 或 网 域 ] [via gateway] [dev 装置 ] 
选项 与 参数 : 

show : 单纯 的 显示 出 路 由 表 ， 也 可 以 使 用 list ; 

addldel : 增加 (add) 或 删除 (del) 路 由 的 意思 。 

IP 或 网 域 : 可 使 用 192.168.50.0/24 之 类 的 网 域 或 者 是 单纯 的 IP ; 
via : 从 那个 gateway 出 去 ， 不 一 定 需要 ; 

dev : 由 那个 装置 连 出 去 ， 这 就 需要 了 ! 

mtu : 可 以 额外 的 设 定 MTU 的 数值 喔 ! 

# 范例 一 : 显示 出 目前 的 路 由 资料 





[root@www ~]# ip route Show 

192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.100 
169.254.0.0/16 dev eth0 scope link metric 1002 

default via 192.168.1.254 dev eth0 


如 上 表 所 示 ， 最 简单 的 功能 就 是 显示 出 目前 的 路 由 信息 ， 其 实 跟 ”route 
这 个 指令 相同 


啦 ! 指示 必须 要 注意 几 个 小 东西 : 
proto: 此 路 由 的 路 由 协议 ， 主 要 有 redirect, kernel, boot, static, ra 
等 ， 其 中 kernel 指 的 是 直接 由 核心 判断 自动 设 定 。 














scope: 路 由 的 范围 ， 主 要 是 link ， 亦 即 是 与 本 装置 有 关 的 直接 联 
is 


再 来 看 一 下 如 何 进行 路 由 的 增加 与 删除 吧 ! 

# 范例 二 : 增加 路 由 ， 主 要 是 本 机 直接 可 沟通 的 网 域 

[root@www ~]# ip route add 192.168.5.0/24 dev eth0 

# 针 对 本 机 直接 沟通 的 网 域 设 定 好 路 由 ， 不 需要 透 过 外 部 的 路 由 器 
[root@www ~]# ip route show 

192.168.5.0/24 dev eth0 scope link 

…( 以 下 省 略 )..… 

# 范例 三 : 增加 可 以 通 往外 部 的 路 由 ， 过 router 喔 ! 

[root@www ~]# ip route add 192.168.10.0/24 via 192.168.5.100 dev eth0 
[root@www ~]# ip route show 

192.168.5.0/24 dev eth0 scope link 

.…( 其 他 省 略 )… 
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必 

必 

192.168.10.0/24 via 192.168.5.100 dev eth0 

# 仔细 看 喔 ， 因 为 我 有 192.168.5.0/24 的 路 由 存在 (我 的 网 卡 直 接 联 系 )， 
# 所 以 才 可 以 将 192.168.10.0/24 的 路 由 丢 给 192.168.5.100 


# 那 部 主机 来 帮 屏 传递 坚 ! 与 之 前 提 到 的 route 指令 是 一 样 的 限制 ! 





# 范例 四 : 增加 预 设 路 由 

[root@www ~]# ip route add default via 192.168.1.254 dev eth0 

# 那个 192.168.1.254 束 是 我 的 预 设 路 由 器 (gateway) 的 意思 啊 ! 人 和 信 
# 真 的 记得 ， 只 要 一 个 预 设 路 由 就 OK ! 

# 范例 五 : 删除 路 由 


[root@www ~]# ip route del 192.168.10.0/24 








[root@www ~]# ip route del 192.168.5.0/24 


事实 上 ， 这 个 记 的 指令 实在 是 太 博 大 精深 了 ! 刚 接 触 Linux 网 络 的 朋 
友 ， 可 能 会 看 


到 有 点 曼 一 不 要 紧 啦 ! 你 先 会 使 用 ifconfig, ifup , ifdown 与 route 即 可 ， 
等 以 


后 有 经 验 了 之 后 ， 再 继续 回来 玩 ip 这 个 好 玩 的 指令 吧 ! 人 人 ^ 有 兴趣 的 
话 ， 也 可 以 自 


行 参考 ethtool 这 个 指令 喔 ! (man ethtool)。 
5.1.4 无 线 网 络 : iwlist, iwconfig 


0 能 够 进行 喔 ! 这 两 个 指令 的 用 途 是 这 


iwlist: 利用 无 线 网 卡 进行 无 线 AP 的 侦 测 与 取得 相关 的 数据 ; 
iwconfig: 设 定 无 线 网 卡 的 相关 参数 。 








引 这 重 我 人 


不 再 详 谈 ， 有 兴趣 的 朋友 应 该 先 使 用 man iwlist 与 man iwconfig 了 解 一 
下 合法 伏 


后 再 到 前 一 章 的 无 线 网 络 小 节 查 一 查 相 关 的 用 法 ， 就 了 解 了 啦 ! 人 人 
5.1.5 手动 使 用 DHCP 自动 取得 IP 参数 : dhclient 


3 DHCP 协议 在 局 域 网 络 内 取得 IP 的 话 ， 那 么 是 否 一 定 要 
编辑 


ifcfg-eth0 内 的 BOOTPROTO 呢 ? 嘿嘿 ! 有 个 更 快速 的 作法 ， 那 就 是 利 
用 dhclient 这 


个 指令 一 因为 这 个 指令 才 是 真正 发 送 dhcp 要 求 工 作 的 程序 啊 ! 那 要 如 
何 使 用 呢 ? 很 简 


单 ! 如 果 不 考虑 其 他 的 参数 ， 使 用 底下 的 方法 即 可 : 
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[root@www ~]# dhclient eth0 


够 简单 吧 ! 这 样 就 可 以 立刻 叫 我 们 的 网 络 卡 以 dhcp 协议 去 尝试 取得 IP 
喔 ! 


5.2 网 络 侦 错 与 观察 指令 


在 网 络 的 互助 论坛 中 ， 最 第 听 到 的 一 句 话 就 是 : 『 高 手 求救 ! 我 的 
Linux 不 能 连 

上 网 络 了 ! 」 我 的 天 响 ! 不 能 上 网 络 的 原因 多 的 很 ! 而 要 完全 摘 懂 也 不 
是 一 件 简单 的 事 

情 呢 ! ”不 过 ， 事 实 上 我 们 可 以 自己 使 用 测试 软件 来 妃 踪 可 能 的 错误 原 
因 ， 而 很 多 的 网 


络 侦 测 指令 其 实在 Linux 里 头 已 经 都 预 设 存 在 了 ， 只 要 你 好 好 的 学 一 学 
基本 的 侦 测 指 








令 ， 那 么 一 些 朋友 在 告诉 你 如 何 侦 错 的 时 候 ， ”你 应 该 就 立刻 可 以 知道 
如 何 来 搞定 他 哆 ! 











还 有 些 重 要 的 侦 测 指令 也 得 要 来 了 解 一 下 才 好 ! 


5.2.1 两 部 主机 两 点 沟通 : ping 


这 个 ping 是 很 重要 的 指令 ，ping 主要 透 过 ICMP 封包 来 进行 整个 网 络 
前 状况 报 


告 ， 当 然 啦 ， 最 重要 的 就 是 那个 ICMP type 0, 8 这 两 个 类 型 ， 分 别 是 要 
求 回报 与 主 

动 回 报 网 络 状态 是 否 存在 的 特性 。 要 特别 注意 的 是 ， ping 还 是 需要 透 
过 IP 封包 来 传 


送 ICMP 封包 的 ， 而 IP 封包 里 面 有 个 相当 重要 的 TTL 属性 ， 这 是 很 重 
要 的 一 个 路 由 


特性 ， 详细 的 IP 与 ICMP 


组 。 











[root@www ~]# ping [选项 与 参数 ] IP 

选项 与 参数 : 

-C 数 值 : 后 面 接 的 是 执行 ping 的 次 数 ， 例 如 -c5 ; 

-n : 在 输出 数据 时 不 进行 IP 与 主机 名 的 反 碍 ， 直 接 使 用 卫 输出 (速度 
较 快 ); 

发 送出 去 的 ICMP 封包 大 小 ， 预 设 为 56bytes， 不 过 你 可 以 放 


一 数值 ; 


-数值 : TIL 的 数值 ， 预 设 是 255， 每 经 过 一 个 节点 就 会 少 一 ; 

-W 数值 ， 等 待 啊 应 对 方 主机 的 秒 数 。 

-M [doldont] : 主要 在 侦 测 网 络 的 MTU 数值 大 小 ， 两 个 常见 的 项 目 是 : 
do : 代表 传送 一 个 DF (Don't Fragment) 旗 标 ， 让 封包 不 能 重新 拆 包 与 
打包 ; 

dont: 代表 不 要 传送 DF 旗 标 ， 表 示 封 包 可 以 在 其 他 主机 上 拆 包 与 打包 
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# 范例 一 : 侦 测 一 下 168.95.1.1 这 部 DNS 主机 是 否 存在 ? 

[root@www ~]#ping -c 3 168.95.1.1 

PING 168.95.1.1 (168.95.1.1) 56(84) bytes of data. 

64 bytes from 168.95.1.1: icmp_sedqd=1 ttl=245 time=15.4 ms 

64 bytes from 168.95.1.1: icmp_seq=2 ttl=245 time=10.0 ms 

64 bytes from 168.95.1.1: icemp_seq=3 ttl=245 time=10.2 ms 

--- 168.95.1.1 ping statistics --- 

3 packets transmitted, 3 received, 0% packet loss, time 2047ms 

rtt min/avg/max/mdev = 10.056/11.910/15.453/2.506 ms 


ping 最 简单 的 功能 就 是 传送 ICMP 封包 去 要 求 对 方 主机 回应 是 人 否 存 在 于 
网 络 环境 中 ， 


上 面 的 啊 应 消 妃 当中 ， 几 个 重要 的 项 目 是 这 样 的 : 


64 bytes: 表示 这 次 传送 的 ICMP 封包 大 小 为 64 bytes 这 么 大 ， 这 是 














人 
用 -s 


2000 之 类 的 数值 来 取代 ; 
icmp_seq=1: ICMP 所 侦 测 进行 的 次 数 ， 第 一 次 编写 为 1; 


ttl=243: TTL 与 IP 封包 内 的 TTL 是 相同 的 ， 每 经 过 一 个 带 有 MAC 
的 节 


点 (node) 时 ， 例 如 router, bridge 时 ， TTL 就 会 减少 一 ， 预 设 的 TTL 为 
255 ， 你 可 以 透 过 -t 150 之 类 的 方法 来 重新 设 定 预 设 TIL 数值 ; 
time=15.4 ms: 响应 时 间 ， 单 位 有 ms(0.001 秒 ) 及 us(0.000001 秒 )， 一 
般 来 说 ， 越 小 的 响应 时 间 ， 表 示 两 部 主机 之 间 的 网 络 联机 越 良好 ! 
2 -c 3 这 样 的 规定 侦 测 次 数 ， 那 就 得 要 使 用 [ctrlj-c 将 他 








了 1 
例题 : 
写 一 文 脚本 程序 ping.sh ， 透 过 这 文 脚本 程序 ， 你 可 以 用 ping 侦 测 整 


人 此 外 ， 每 部 主机 的 侦 测 仅 等 竺 一 秒 钟 ， 也 仅 
页 测 一 


次 。 





答 : 
由 于 仅 侦 测 一 次 且 等 待 一 秒 ， 因 此 ping 的 选项 为 : -W1 -cl ， 而 位 于 
本 机 所 在 的 区 网 为 192.168.1.0/24 ， 所 以 可 以 这 样 写 (vim 


/root/bin/ping.sh): 


#!/bin/bash 

for siteip in $(seq 1 254) 
do 
site="192.168.1.${siteip}" 
ping -cl -W1 ${site} &> /dev/null 
if [ "$7?" == "0" ]; then 
net.qiang(Dhotmail.com 
echo "$site is UP" 

else 

echo "$site is DOWN" 

fi 

done 


特 别 注意 一 下 ， 如 果 你 的 主机 与 待 侦 测 主机 并 不 在 同一 个 网 域内 ， 那 
么 TIL 预 设 使 用 


255 ， 如 果 是 同一 个 网 域内 ， 那 么 TIL 预 设 则 使 用 64 喔 ! 
用 ping 妃 踩 路 径 中 的 最 大 MTU 数值 
| 加 大 讯 框 (frame) 时 ， 对 于 网 络 效能 


里 面谈 





助 的 ， 因 为 封包 打包 的 次 数 会 减少 ， 加 上 如 果 整 个 传输 的 媒体 都 能 够 接 


受 这 个 


frame 而 不 需要 重新 进行 封包 的 拆 解 与 重组 的 话 ， 那 么 效能 当然 会 更 
好 ， 那 个 修 


改 frame 大 小 的 参数 就 是 MIU 啦 ! 
好 了 ， 现 在 我 们 知道 网 络 卡 的 MTU 修改 可 以 透 过 ifconfig 或 者 是 ip 等 


指令 


来 达成 ， 那 么 奶 踊 整个 网 络 传输 的 最 大 MTU 了 时， 又 该 如 何 查 询 ? 呵 
呵 ! 最 简单 


的 方法 当然 是 透 过 ping 传送 一 个 大 封包 ， ”并且 不 许 中 继 的 路 由 器 或 


Switch 

将 该 封包 重组 ， 那 就 能 够 处 理 啦 ! 没 错 ! 可 以 这 样 的 : 

# 范例 二 : 找 出 最 大 的 MTU 数值 

[root@www ~]# ping -c 2 -s 1000 -M do 192.168.1.254 

PING 192.168.1.254 (192.168.1.254) 1000(1028) bytes of data. 
1008 bytes from 192.168.1.254: icmp_seq=1l ttl=64 time=0.311 ms 


# oa 那 就 是 可 以 接受 这 个 封包 ， 如 果 无 啊 应 ， 那 束 表 示 这 个 
MTU 入 


了 < 

[root@www ~1# ping -c 2 -s 8000 -M do 192.168.1.254 

PING 192.168.1.254 (192.168.1.254) 8000(8028) bytes of data. 

From 192.168.1.100 icmp_seq=1 Frag needed and DF set (mtu = 1500) 

# 这 个 错误 讯息 是 说 ， 

本 地 端的 MTU 才 到 1500 而 已 ， 

你 要 侦 测 8000 的 MTU 

# 根本 就 是 无 法 达成 的 ! 那 要 如 何 是 好 ? 用 前 一 小 节 介 绍 的 ip link 来 进 


» 


行 
MTU 设 定 吧 ! 


不 过 ， 你 需要 知道 的 是 ， 由 于 IP 在 
20 


bytes ， 再 加 上 ICMP 的 表 头 有 8 bytes ， 所 以 当然 你 在 使 用 -s size 的 时 
候 ， 


0 (20+8=28) 的 大 小 了 。 因此 如 果 要 使 用 
MTU 六 





1500 时 ， 就 得 要 下 达 『 ping -s 1472 -M do xx.yy.zz.ip 」 才 行 啊 ! 
另外 ， 由 于 本 地 端的 网 络 卡 MTU 也 会 影响 到 侦 测 ， 所 以 如 果 想 要 侦 测 


整个 传输 


MTU 数值 ， 那么 每 个 可 以 调整 的 主机 就 得 要 先 使 用 ifcofig 或 记 


net.giang(@hotmail.com 
必 
会 出 现 错误 讯 县 的 ! 


不 过 这 个 MTU 不 要 随便 调整 啊 ! 除非 真 的 有 问题 。 通 常 调整 MTU 的 
时 间 是 在 这 


个 时 候 : 

o 因为 全 部 的 主机 群 都 是 在 内 部 的 区 网 ， 例 如 从 集 架 构 (cluster) 的 

由 于 内 部 的 网 络 节 点 都 是 我 们 可 以 控制 的 ， 因 此 可 以 透 过 修 
忆 


MTU 来 增进 网 络 效 能 ; 

o 因为 操作 系统 默认 的 MTU 与 你 的 网 域 不 符 ， 导 致 某 些 网 站 可 以 顺利 
某 些 网 站 则 无 法 联机 。 以 Windows 操作 系统 作为 联机 分 享 的 主 
刀 


时 ， 在 Client 端 挺 容易 发 生 这 个 问题 ; 


如 果 是 要 连 上 Internet 的 主机 ， 注 意 不 要 随便 调整 MTU ， 因 为 我 们 无 
法 知道 


人 上 面 的 每 部 机 器 能 够 支持 的 MTU 到 多 大 ， 因 为 … 不 是 我 们 能 
够 管 


的 到 的 嘱 和 和 人! 另外 ， 其 实 每 种 联机 方式 都 有 不 同 的 MTU 值 ， 第 见 的 
各 种 接口 


的 MTU 值 分 别 为 : 

网 络 接口 

MTU 

Ethernet 

1500 

PPPoE, 

1492 

Dial-up(Modem) 

576 

5.2.2 两 主机 间 各 节点 分 析 : traceroute 


我 们 前 面谈 到 的 指令 大 多 数 都 是 针对 主机 的 网 络 参 数 设 定 所 需要 的 ， 而 


ping 是 两 

部 主机 之 间 的 回声 与 否 判 断 ， “那么 有 没有 指令 可 以 追 踩 两 部 主机 之 间 
通过 的 各 个 节点 

(node) 通讯 状况 的 好 坏 呢 ? 举例 来 说 ， 如 果 我 们 联机 到 yahoo 的 速度 比 
平常 慢 ， 你 觉 

得 是 (TD 上 自己 的 网 络 环境 有 问题 ? (2) 还 是 外 部 的 Internet 有 问题 ?如 果 
是 (1) 的 


话 ， 我 们 当然 需要 检查 目 己 的 网 络 环境 啊 ， 看 看 是 否 又 有 谁 中 毒 了 ? 但 
如 果 是 Internet 


的 问题 呢 ? 那 只 有 『 等 等 等 | 啊 ! ”判断 是 (1) 还 是 (2) 残 得 要 使 用 


生生 


traceroute 这 


个 指 们 啦 :! 




















[root@www ~]#traceroute [选项 与 参数 ] IP 

选项 与 参数 : 

-n: 可 以 不 必 进 行 主机 的 名 称 解析 ， 单 纯 用 卫 ， 速 度 较 快 ! 

-U : 使 用 UDP 的 port 33434 来 进行 侦 测 ， 这 是 预 设 的 侦 测 协 议 ; 

-I : 使 用 ICMP 的 方式 来 进行 侦 测 ; 
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-T : 使 用 TCP 来 进行 侦 测 ， 一 般 使 用 port 80 测试 

-w : 知 对 方 主 机 在 几 秘 钟 内 没有 回声 就 宣告 不 治 .…. 预 设 是 5 秘 

-Pp 塌 号 : 若 不 想 使 用 UDP 与 TCP 的 预 设 塌 号 来 侦 测 ， 可 在 此 改变 塌 





呈 I 


号 








-i 装置 : 用 在 比较 复杂 的 环境 ， 如 果 你 的 网 络 接口 很 多 很 复杂 时 ， 才 会 


用 到 

这 个 参数 ; 

举例 来 说 ， 你 有 两 条 ADSL 可 以 连接 到 外 部 ， 那 你 的 主机 会 有 两 个 
ppP; 

你 可 以 使 用 -i 来 选择 是 ppp0 还 是 pppl 啦 ! 

-8 路 由 : 与 -i 的 参数 相仿 ， 只 是 -g 后 面 接 的 是 gateway 的 IP 就 是 了 。 
# 范例 一 : 侦 测 本 机 到 yahoo 去 的 各 节点 联机 状态 

[root@www ~]# traceroute -n tw.yahoo.com 

traceroute to tw.yahoo.com (119.160.246.241), 30 hops max, 40 byte 
packets 

1 192.168.1.254 0.279 ms 0.156 ms 0.169 ms 

2 172.20.168.254 0.430 ms 0.513 ms 0.409 ms 

3 10.40.1.1 0.996 ms 0.890 ms 1.042 ms 

4 203.72.191.85 0.942 ms 0.969 ms 0.951 ms 

5 211.20.206.58 1.360 ms 1.379 ms 1.355 ms 

6 203.75.72.90 1.123 ms 0.988 ms 1.086 ms 

7 220.128.24.22 11.238 ms 11.179 ms 11.128 ms 

8 220.128.1.82 12.456 ms 12.327 ms 12.221 ms 

9 220.128.3.149 8.062 ms 8.058 ms 7.990 ms 


10*** 


11 119.160.240.1 10.688 ms 10.590 ms 119.160.240.3 10.047 ms 
12 * ** <== 可 能 有 防火 增 装 置 等 情况 发 生 所 致 


这 个 ”traceroute 挺 有 意思 的 ， 这 个 指令 会 针对 欲 连 接 的 目的 地 之 所 有 
node 进行 UDP 


的 俐 时 等 每 ， 例如 上 面 的 例子 当中 ， 由 乌 哥 的 主机 连接 到 Yahoo 时 ， 


他 会 经 过 12 个 


节点 以 上 ，traceroute 会 主动 的 对 这 12 个 节点 做 UDP 的 回声 等 待 ， 并 
侦 测 回复 的 时 


间 ， 每 节点 侦 测 三 次 ， 最 终 回 传 像 上 头 显示 的 结果 。 ”你 可 以 发 现 每 个 
节点 其 实 回复 的 


时 间 大 约 在 50 ms 以 内 ， 算 是 还 可 以 的 Internet 环境 了 。 


比较 特殊 的 算是 第 10/12 个 ， 会 回 传 星 号 的 ， 代 表 该 node 可 能 设 有 茶 
些 防护 措 


施 ， 证 我 们 发 送 的 封包 信息 被 丢弃 所 致 。 ”因为 我 们 是 直接 透 过 路 由 喜 
转 弟 封包， 并 没 


有 进入 路 由 器 去 取得 路 由 露 的 使 用 资源 ， 所 以 茶 些 路 由 露 仅 文 持 封 包 转 
递 ， 并 不 会 接 


受 来 自 客 户 端 的 各 项 侦 测 啦 ! 此 时 就 会 出 现 上 述 的 问题 。 因 为 
traceroute 预 设 使 用 


UDP 封包 ， 如 果 你 想 尝 试 使 用 其 他 封包 ， 那么 -或 工 可 以 试看 看 嗓 ! 


由 于 目前 UDP/ICMP 的 攻击 层出不穷 ， 因 此 很 多 路 由 器 可 能 就 此 取消 
这 两 个 封包 的 


响应 功能 。 所 以 我 们 可 以 使 用 TCP 来 侦 测 哟 ! 例如 使 用 同样 的 方法 ， 


透 过 等 待 时 间 1 


秒 ， 以 及 TCP 80 塌 口 的 情况 下 ， 可 以 这 样 做 : 
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必 
[root@www ~|]# traceroute -w 1 -n -T tw.yahoo.com 
5.2.3 察看 本 机 的 网 络 联 机 与 后 门 : netstat 


如 宁 你 觉得 你 的 茶 个 网 络 服务 明明 就 局 动 了 了， 但 是 就 是 无 法 造成 联机 的 
话 ， 那 么 应 


该 怎么 办 ? 首先 你 应 该 要 查询 一 下 自己 的 网 络 接口 所 监听 的 端口 口 
(porb 来 看 看 是 


售 真 的 有 启动 ， 因 为 有 时 候 屏幕 上 面 显 示 的 [OK] 并 不 一 定 是 OK 啊 ! 


和 人 和 

















[root@www ~]# netstat -[rn] <== 与 路 由 有 关 的 参数 
[root@www ~]# netstat -[antulpc] <== 与 网 络 接口 有 关 的 参数 
选项 与 参数 : 

与 路 由 (route) 有 关 的 参数 说 明 : 

工 : 列 出 路 由 表 (route table)， 功 能 如 同 route 这 个 指令 ; 

-n : 不 使 用 主机 名 与 服务 名 称 ， 使 用 卫 与 port number ， 如 同 route -n 
与 网 络 接口 有 关 的 参数 : 

-a : 列 出 所 有 的 联机 状态 ， 包 括 tcp/udp/unix socket 等 

-t: 仅 列 出 TCP 封包 的 联机 ; 

-u : 仅 列 出 UDP 封包 的 联机 

-1 : 仅 列 出 有 在 Listen (监听 ) 的 服务 之 网 络 状 态 ; 


-p : 列 出 PID 与 Program 的 横 名 ; 
3 可 以 设 定 几 秒 钟 后 自动 更 新 一 次 ， 例 如 -c 5 每 五 秒 更 新 一 次 网 络 状 


的 显示 ; 

# 范例 一 : 列 出 目前 的 路 由 表 状 态 ， 且 以 IP 及 port number 显示 : 
[root@www ~]# netstat -rn 

Kernel IP routing table 

Destination Gateway Genmask Flags MSS Window 

irtt Iface 

192.168.1.0 0.0.0.0 255.255.255.0U00 

0 eth0 

169.254.0.0 0.0.0.0 255.255.0.0U00 

0 eth0 

0.0.0.0 192.168.1.254 0.0.0.0 UG 0 0 

0 eth0 

# 其 实 这 个 参数 就 跟 route -n 一模一样 ， 对 吧 ! 这 不 是 netstat 的 主要 功 
能 啦 ! 

# 苑 例 二 : 列 出 目前 的 所 有 网 络 联机 状态 ， 使 用 IP 与 port number 
[root@www ~ ]# netstat -an 

Active Internet connections (servers and established) 


Proto Recv-Q Send-Q Local Address Foreign Address State 


.…( 中 间 省 略 )…. 
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tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 

tcp 0 52 192.168.1.100:22 192.168.1.101:1937 
ESTABLISHED 

tcp 0 0 :1::22 :::* LISTEN 

…( 中 间 省 略 )..… 

Active UNIX domain sockets (servers and established) 
Proto RefCnt Flags Type State I-Node Path 
unix 2[ ACC |] STREAM LISTENING 11075 
@/var/run/hald/dbus-uukdglqMPh 

unix 2[ ACC |] STREAM LISTENING 10952 
/var/run/dbus/system_bus_socket 

unix 2[ ACC |] STREAM LISTENING 11032 
/var/run/acpid.socket 

…( 底 下 省 略 )..… 


netstat 的 输出 主要 分 为 两 大 部 分 ， 分 别 是 TCP/IP 的 网 络 接口 部 分 ， 以 
及 传统 的 Unix 


socket 部 分 。 还 记得 我 们 在 基础 篇 里 面 曾经 谈 到 档案 的 类 型 吗 ? 那个 
socket 与 


FIFO 档案 还 记得 吧 ? 那 就 是 在 Unix 接口 用 来 做 为 程序 数据 交流 的 接口 





了 ， 也 就 是 上 
头 表格 内 看 到 的 Active Unix domain sockets 的 内 容 咖 一 


通常 乌 哥 都 是 建议 加 上 『 -n 」 这 个 参数 的 ， 因 为 可 以 避 过 主机 名 与 服 
务 名 称 的 反 


查 ， 直 接 以 IP 及 端口 口号 码 (port number) 来 显示 ， 显 示 的 速度 上 会 快 
很 多 ! 至 于 


在 输出 的 讯 奶 当中， 我们 先 来 谈 一 谈 关 于 网 络 联机 状态 的 输出 部 分 ， 
他 主要 是 分 为 底 


下 几 个 大 项 ; 
Proto: 该 联机 的 封包 协议 ， 主 要 为 TCP/UDP 等 封包 ; 
Recv-Q: 非 由 用 户 程序 连接 所 复制 而 来 的 总 bytes 数 ; 


Send-Q: 由 远程 主机 所 传送 而 来 ,但 不 具有 ACK 标志 的 总 bytes 
数 ， 意 


主动 联机 SYN 或 其 他 标志 的 封包 所 占 的 bytes 数 ; 
Local Address: 本 地 端的 地 址 ， 可 以 是 IP (-n 参数 存在 时 )， 也 可 以 


XE 


完整 的 主机 名 。 使 用 的 格 是 就 是 『 IP:port 」 只 是 IP 的 格式 有 IPv4 及 
IPv6 


es 如 上 所 示 ， 在 port 22 的 接口 中 ， 使 用 的 :::22 束 是 针对 IPv6 











显示 ， 事 实 上 他 就 相同 于 0.0.0.0:22 的 意思 。 至 于 port 25 仅 针对 lo 接 
口 


开放 ， 意 指 Internet 基本 上 有 是 无 法 连接 到 我 本 机 的 25 井口 啦 ! 


Foreign Address: 远程 的 主机 IP 与 port number 


stat: 状态 栏 ， 主 要 的 状态 含 


oESTABLISED: 已 建立 联机 的 状态 ; 


oSYN_SENT: 
oO SYN_RECYV: 
oO FIN_WAIT1: 


oO FIN_WAIT2: 


包 ; 


发 出 主动 联机 (SYN 标志 ) 的 联机 封包 ; 

接收 到 一 个 要 求 联 机 的 主动 联机 封包 |; 

该 插 槽 服务 (sockeb 已 中 断 ， 该 联机 正在 断 线 当中 ， 
该 联机 已 挂 断 ， 但 正在 等 待 对 方 主机 啊 应 断 线 确 认 的 封 





oTIME_ WAIT: 该 联机 已 挂 断 ， 但 socket 还 在 网 络 上 等 待 结 束 ; 


oLISTEN: 通常 用 在 服务 的 监听 port ! 可 使 用 『 -1 」 参数 查阅 。 
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基本 上 ， 我 们 和 常常 谈 到 的 netstat 的 功能 ， 束 是 在 观察 网 络 的 联机 状态 


了 ， 而 网 


络 联机 状态 中 ， 
机 」 以 及 [ 目 





又 以 观察 『 我 目前 开 了 多 少 的 port 在 等 竺 客户 端的 联 


前 我 的 网 络 联机 状态 中 ， 有 多 少 联机 已 建立 或 产生 问题 」 最 常见 。 那 
你 如 何 了 解 与 观 


畦 呢 ? 通 癌 马 哥 是 这 样 处 理 的 : 
# 范例 三 : 秀 出 目前 已 经 启动 的 网 络 服务 


[root@www ~|]# netstat -tulnp 


Active Internet connections (only servers) 


Proto Recv-Q Send-Q Local Address Foreign Address State 


PID/Program name 

tcp 0 0 0.0.0.0:34796 0.0.0.0:* LISTEN 
987/rpc.statd 

tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 
969/rpcbind 

tcp 0 0 127.0.0.1:25 0.0.0.0:# LISTEN 
1231/master 

tcp 00:::22 :::* LISTEN 

1155/sshd 

udp 0 0 0.0.0.0:111 0.0.0.0:* 
969/rpcbind 

(底下 省 略 )…. 

# 上 面 最 重要 的 其 实 是 那个 -1 的 参数 ， 因 为 可 以 仅 列 出 有 在 Listen 的 





port 


你 可 以 发 现 很 多 的 网 络 服务 其 实 仅 针对 本 机 的 lo 开放 而 已 ， 因 特 网 是 
连接 不 到 该 埋 口 


与 服务 的 。 而 由 上 述 的 数据 我 们 也 可 以 看 到 ， 局 动 port 111 的 ， 其 实 就 
是 rpcbind 那 


只 程序 ， 那 如 果 想 要 关闭 这 个 埋 口 ， 你 可 以 使 用 kill 删除 PID 969， 也 
可 以 使 用 


killall 删除 rpcbind 这 个 程序 即 可 。 如 此 一 来 ， 很 轻松 的 你 就 能 知道 哪 
个 程序 启动 





了 哪些 端口 口 哆 ! 

# 范例 四 : 观察 本 机 上 头 所 有 的 网 络 联 机 状态 
[root@www ~ |]# netstat -atunp 

Active Internet connections (servers and established) 
Proto Recv-Q Send-Q Local Address Foreign Address State 
PID/Program 

tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 

969/rpcbind 

tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 

1155/sshd 

tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 

1231/master 

tcp 0 52 192.168.1.100:22 192.168.1.101:1937 
ESTABLISHED 4716/0 
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wa TN) 


看 到 上 头 的 特殊 字体 吧 ? 那 代表 目前 已 经 建立 联机 的 一 条 网 络 联机 ， 他 
征 由 远程 主机 


192.168.1.101 启动 一 个 大 于 1024 的 坦 口 向 本 地 端 主机 192.168.1.100 的 
port 22 


进行 的 一 条 联机 ， 你 必须 要 想起 来 的 是 : 『Client 端 是 随机 取 一 个 大 于 
1024 以 上 的 


port 进行 联机 」， 此 外 『 只 有 root 可 以 启动 小 于 1024 以 下 的 port 」， 
那 束 看 的 


懂 上 上头 那 条 联机 哆 ! 如 果 这 条 联机 你 想 要 砍 掉 他 的 话 ， ”看 到 最 右边 的 
4716 了 没 ? 





kill 会 用 吧 ! 信人 人 


至 于 传统 的 Unix socket 的 数据 ， 记 得 使 用 man netstat 查阅 一 下 吧 ! 这 


个 Unix 


通常 是 用 在 一 些 仅 在 本 机 上 运作 的 程序 所 开局 的 插 槽 接口 文件 ， 
列 如 又 


Window 不 都 是 在 本 机 上 运作 而 已 吗 ? 那 何必 启动 网 络 的 port 呢 ? 当然 
可 以 使 用 


Unix socket 呢 ， 另 外 ， 例 如 Postfix 这 一 类 的 网 络 服务 器 ， 由 于 很 多 动 
作 都 是 在 本 


机 上 头 来 完成 的 ， 所 以 以 会 占用 很 多 的 Unix socket 喔 ! 

例题 : 

请 说 明 服 务 名 称 与 port number 的 对 应 在 Linux 当中 ， 是 用 那个 档案 来 
设 定 对 应 的 ? 

答 : 

/etc/services 

5.2.4 侦 测 主机 名 与 IP 对 应 : host nslookup 

关于 主机 名 与 IP 的 对 应 中 ， 我 们 主要 介绍 的 是 DNS 客户 端 功能 的 dig 


这 个 指令 。 





不 过 除了 这 个 指令 之 外 ， 其 实 还 有 两 个 更 简单 的 指令 ， 那 就 是 host 与 


nslookup 啦 ! 


底下 让 我 们 来 聊 聊 这 两 个 指令 吧 ! 


host 
久 个 指令 可 以 用 来 查 出 某 个 主机 名 的 IP 喔 ! 举例 来 说 ， 我 们 想 要 知道 
tw.yahoo.com 的 IP 时， 可 以 这 样 做 : 





[root@www ~]# host [-a] hostname [server] 
选项 与 参数 : 

: 列 出 该 主机 详细 的 各 项 主机 名 设 定数 据 
[server] : 可 以 使 用 非 为 /etc/resolv.conf 的 DNS 服务 器 IP 来 查询 。 
# 范例 一 : 列 出 tw.yahoo.com 的 IP 
[root@www ~ 1# host tw.yahoo.com 
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tw.yahoo.com is an alias for tw-cidr.fyap.b.yahoo.com. 
tw-cidr.fyap.b.yahoo.com is an alias for tw-tpe-fo.fyap.b.yahoo.com. 
tw-tpe-fo.fyap.b.yahoo.com has address 119.160.246.241 


瞧 ! IP 是 119.160.246.241 啊 ! 很 简单 就 可 以 查询 到 IP 了 ! 那么 这 个 IP 
是 向 谁 查 


询 的 呢 ?” 其 实 就 是 写 在 _/etc/resolv.conf 那个 档案 内 的 DNS 服务 器 IP 
啦 ! 如 果 不 


想 要 使 用 该 档案 内 的 主机 来 查询 ， 也 可 以 这 样 做 : 

[root@www ~]# host tw.yahoo.com 168.95.1.1 

Using domain server: 

Name: 168.95.1.1 

Address: 168.95.1.1#53 

Aliases: 

tw.yahoo.com is an alias for tw-cidr.fyap.b.yahoo.com. 
tw-cidr.fyap.b.yahoo.com is an alias for tw-tpe-fo.fyap.b.yahoo.com. 
tw-tpe-fo.fyap.b.yahoo.com has address 119.160.246.241 


告诉 我 们 所 使 用 来 得 询 的 主机 是 哪 一 部 响 ! 这 样 就 够 清楚 了 吧 ! 不 
9 再 怎么 清楚 


比 不 过 dig 这 个 指令 的 ， 所 以 这 个 指令 仅 是 参考 参考 啦 ! 





nslookup 


这 玩意 儿 的 用 途 与 host 基本 上 是 一 样 的 ， 束 是 用 来 作为 卫 与 主机 名 对 
应 的 检查 ， 


同样 是 使 用 /etc/resolv.conf 这 个 档案 来 作为 DNS 服务 器 的 来 源 选择 。 
[root@www ~]#nslookup [-query=[type]] [hosthamelIP] 
选项 与 参数 : 


ps 查询 的 类 型 ， 除 了 传统 的 IP 与 主机 名 对 应 外 ，DNS 还 有 
很 











所 以 我 们 可 以 查询 很 多 不 同 的 信息 ， 包 括 mx, cname 等 等 ， 
例如 : ” -query=mx 的 查询 方法 ! 

# 范例 一 : 找 出 www.google.com 的 IP 

[root@www ~]# nslookup www.google.com 

Server: 168.95.1.1 

Address: 168.95.1.1#53 

Non-authoritative answer: 
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www.google.com canonical name = www.l.google.com. 
Name: www.l.google.com 

Address: 74.125.71.106 

.…( 底 下 省 略 )… 

# 范例 二 : 找 出 168.95.1.1 的 主机 名 

[root@www ~]#nslookup 168.95.1.1 

Server: 168.95.1.1 


Address: 168.95.1.1#53 


1.1.95.168.in-addr.arpa name = dns.hinet.net. 


如 何 ， 看 起 来 与 host 差不多 吧 ! 不 过 ， 这 个 nslookup 还 可 以 由 IP 找 出 
主机 名 喔 ! 


例如 那个 范例 二 ， 他 的 主机 名 是 : dns.hinetnet 哩 ! 目前 大 家 都 建议 使 
用 dig 这 个 


指令 来 取代 nslookup ， 


一 谈 吧 ! 
5.3 远程 联机 指令 与 实时 通讯 软件 


啥 是 远程 联机 呢 ? 其 实 惑 是 在 不 同 的 计算 机 之 间 进 行 登 入 的 情况 啦 ! 我 
们 可 以 透 过 


telnet, ssh 或 者 是 ftp 等 协议 来 进行 远程 主机 的 登入 。 底 下 我 们 就 分 别 来 
介绍 一 下 
小 < 


这 些 基 本 的 指令 吧 ! 这 里 仅 是 谈 到 客户 端 功能 喔 ， “相关 的 服务 器 我 们 
则 会 在 后 续 进 行 


说 明 的 。 
5.3.1 终端 机 与 BBS 联机 : telnet 


telnet 是 早期 我 们 在 个 人 计算 机 上 面 要 链接 到 服务 器 工作 时 ， 最 重要 的 


0 

















了 ! 他 不 但 可 以 直接 连接 到 服务 器 上 头 ， 还 可 以 用 来 连结 BBS 呢 ! 非 
常 棒 ! 不 过 ， 


telnet 本 身 的 数据 在 传送 的 时 候 是 使 用 明码 (原始 的 数据 ， 没 有 加 密 ) ， 
所 以 数据 在 


Iternet 上 和 面 跑 的 时 候 ， 会 比较 危险 一 点 (就 介 被 别人 监听 啊 )。 更 详细 
的 资料 我 们 


会 在 第 一 可 [ml 故 介绍 1 


[root@www ~ ]# telnet [host|IP [port]] 





# 范例 一 : 连结 到 人 台湾 相当 热门 的 PIT BBS 站 ptt.cc 
[root@www ~]# yum install telnet <== 默 认 没 有 安装 这 软件 
[root@www ~]# telnet ptt.cc 


欢迎 来 到 批 跑 踢 实业 坊 目前 有 【100118】 名 使 用 者 与 您 一 同 对抗 炎 炎 
收 
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日 。 

请 输入 代号 ， 或 以 guest 参观 ， 或 以 new 注册 : 
[高 手 名 集 令 ] 台湾 黑客 年 会 晋 假 与 你 骇 翻 南港 


http://reg.hitcon.org/hit2011 





要 学 计算 机 ， 首 选 台 湾 大 学 信息 训练 班 ! http://tinyurl.com/3z42apw 


如 上 所 示 ， 我 们 可 以 透 过 telnet 轻易 的 连结 到 BBS 上 面 ， 而 如 果 你 的 主 
机 有 开局 


telnet 服务 器 服务 的 话 ， 同 样 的 利用 『 telnet IP 」 并 有 旦 输入 账号 与 密码 
之 后 ， 就 能 


够 登入 主机 了 。 另外 ,， 在 Linux 上 的 telnet 软件 还 提供 了 Kerberos 的 认 
证 方式 ， 


有 兴趣 的 话 请 自行 参阅 man telnet 的 说 明 。 
除了 连结 到 服务 器 以 及 连结 到 BBS 站 之 外 ， telnet 还 可 以 用 来 连结 到 某 


个 port 





(服务 ) 上 头 响 ! 举例 来 说 ， 我 们 可 以 用 telnet 连接 到 port 110 ， 看 看 这 


个 port 是 
人 否 有 正确 的 局 动 呢 ? 


# 范例 二 : 侦 测 本 机 端的 110 这 个 port 是 否 正 确 局 动 ? 





[root@www ~]# telnet localhost 110 
Trying 127.0.0.1... 


telnet: connect to address 127.0.0.1: Connection refused 


# 如 条 出 现 这 样 的 讯 县 ， 代 表 这 个 port 没有 启动 或 者 是 这 个 联机 有 问 


是 页 ， 





# 因为 你 看 到 那个 refused 啊 ! 
[root@www ~|]# telnet localhost 25 
Trying ::1... 

Connected to localhost. 

Escape character is 'A\]'. 

220 www.centos.vbird ESMTP Postfix 
ehlo localhost 
250-www.centos.vbird 
250-PIPELINING 

250-SIZE 10240000 

.…( 中 间 省 略 )…. 


250 DSN 


quit 
221 2.0.0 Bye 
Connection closed by foreign host. 


瞧 ! 根据 输出 的 结果 ， 我 们 就 能 够 知道 这 个 通讯 协议 (port number 提供 
的 通讯 协议 功 


能 ) 是 否 有 成 功 的 局 动 响 ! 而 在 每 个 port 所 监听 的 服务 都 有 其 特殊 的 指 
令 ， 例 如 上 


述 的 port 25 就 是 在 本 机 接口 所 提供 的 电子 邮件 服务 ， 那个 服务 所 支持 
的 指令 就 如 同 


上 面 使 用 的 数据 一 样 ， 但 是 其 他 的 port 就 不 见得 支持 这 个 『 ehlo 」 的 


不 同 的 port 有 不 同 的 程序 嘛 ! 所 以 当然 支持 的 命令 就 不 同 咖 ! 
net.qiang@hotmail.com 

必 

5.3.2 FTP 联机 软件 : ftp, lftp 

现在 的 人 们 由 于 有 高 容量 的 email 可 以 用 ， 因 此 传送 档案 可 以 很 轻松 的 


透 过 


email 。 不 过 email 还 是 有 单 封 信件 容量 限制 ， 如 果 想 要 一 口气 传送 个 
几 百 MB 的 档 


案 ， 恐 怕 还 是 得 要 透 过 FTP 这 个 通讯 协议 才 行 啊 ! 文字 接口 的 FTP 软 
件 主 要 有 ftp， 


lftp 两 个 ， 图 形 接口 的 呢 ? 在 CentOS 上 面 预 设 有 gftp 这 个 好 用 的 东 
东 。 在 这 里 我 


们 仅 介绍 文字 接口 的 两 个 指令 而 已 。 


ftp 


ftp 这 个 指令 很 简单 ， 用 在 处 理 FTP 服务 器 的 下 载 数据 啦 。 由 于 鸟 哥 所 
在 的 位 置 


在 昆山 科大 ， 因 此 这 里 使 用 昆山 科大 的 FTP 服务 器 为 例 : 
[root@www ~]# ftp [hostIIP] [port] 

# 范例 一 : 联机 到 昆山 科大 去 看 看 

[root@www ~]# yum install ftp 

[root@www ~]# ftp ftp.ksu.edu.tw 


Connected to ftp.ksu.edu.tw (120.114.150.21). 


220-You are user number 1 of 50 allowed. 

220-Local time is now 16:25. Server port: 21. 

220-Only anonymous FTP is allowed here <== 讯 息 要 看 啊 ! 这 个 FTP 仪 支 
援 匿 名 

220-IPv6 connections are also welcome on this server. 

220 You will be disconnected after 5 minutes of inactivity. 


Name (ftp.ksu.edu.tw:root): anonymous <== 乌 哥 这 里 用 匿名 登录 ! 





230 Anonymous user logged in <== 嗯 ! 确实 是 匿名 登录 了 ! 
Remote System type is UNIX. 


Using binary mode to transfer files. 


ftp> <== 最 终 登 入 的 结果 看 起 来 是 这 样 ! 

ftp> help <== 提 供需 要 的 指令 说 明 ， 可 以 弟 参 考 ! 

ftp> dir <== 显 示 远 程 服务 器 的 目录 内 容 (文件 名 列表 ) 
ftp> cd /pub <== 变 换 目 录 到 /pub 当中 

ftp> get filename <== 下 载 单 一 档案 ， 档 名 为 flename 
ftp> mget filename* <== 下 载 多 个 档案 ， 可 使 用 通配符 * 
ftp> put filename <== 上 传 flename 这 个 档案 到 服务 器 上 








ftp> delete file <== 删 除 主机 上 的 fle 这 个 档案 
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ftp> mkdir dir <== 建 立 dir 这 个 目录 

ftp> lcd /home <== 切 换 『 本 地 端 主机 」 的 工作 目录 
ftp> passive <== 局 动 或 关闭 passive 模式 

ftp> binary <== 数 据 传输 模式 设 定 为 binary 格式 
ftp> bye <== 结 束 ftp 软件 的 使 用 


FTP 其 实 算是 一 个 很 蚊 烦 的 协议 ， 因 为 他 使 用 两 个 port 分 男 


数据 的 交流 ， 


详细 的 数据 我 们 会 在 第 二 十 一 章 的 FTP 服务 器 内 详 谈 ， 这 里 我 们 先 单 


纯 的 介绍 一 下 如 


何 使 用 ftp 这 个 软件 。 首 先 我 们 当然 是 需要 登入 哆 ， 所 以 在 上 头 的 表格 


当中 我 们 当然 





需要 填 入 账号 与 密码 了 。 不 过 由 于 昆山 科大 仅 提供 匿名 登录 ， 而 匿名 合 


录 者 的 账号 束 是 


『 anonymous 」 上 所 以 直接 填写 那个 账号 即 可 。 如 条 是 私人 的 FTP 时 ， 


才 需 要 提供 一 组 
完整 的 账号 与 密码 啦 ! 


登入 FTP 主机 后 ， 允 能 够 使 用 ftp 软件 的 功能 进行 上 传 与 下 载 的 动作 ， 
几 个 常用 


的 ftp 内 指令 如 上 表 ， 不 过 ， 乌 哥 建 议 你 可 以 连 到 大 学 的 FTP 网 站 后 ， 
使 用 help (或 


问号 ”?) 来 参考 可 用 的 指令 ， 然 后 尝试 下 载 以 测试 使 用 一 下 这 个 指令 
吧 ! 这 样 以 后 没有 


浏览 器 的 时 候 ， 你 也 可 以 到 ftp 下载 了 呢 ! 不 错 吧 ! 另外 你 要 注意 的 
3 离开 ftp 软 


件 时 ， 得 要 输入 『 bye 」 喔 ! 不 是 『 exit」 啦 ! 


如 果 由 于 茶 些 理由 ， 让 你 的 FTP 主机 的 port 开 在 非 正规 的 埋 口 时 ， 那 
你 就 可 以 


利用 底下 的 方式 来 连接 到 该 部 主机 喔 ! 











[root@www ~]# ftp hostname 318 


# 假设 对 方 主机 的 ftp 服务 开局 在 318 这 个 port 啊 ! 


lftp (自动 化 脚本 ) 


单纯 使 用 ftp 总 是 觉得 很 麻烦 ， 有 没有 更 快速 的 ftp 用 户 软件 呢 ? 让 我 
们 可 以 使 


用 类 似 网 址 列 的 方式 来 登入 FIP 服务 器 啊 ? 有 的 ， 那 就 是 lftp 的 功能 
了 ! lftp 预 


设 使 用 匿名 登录 FTP 服务 器 ， 可 以 使 用 类 似 网 址 列 的 方式 取得 数据 ， 














使 用 上 比 单纯 的 


ftp 要 好 用 些 。 此 外 ， 由 于 可 在 指令 列 输入 账号 /密码 ， 可 以 辅助 进行 程 
序 脚 本 的 设计 


喔 ! 

[root@www ~]# lftp [-p port] [-u user[,pass]] [hostIIP] 
[root@www ~]# lftp -f filename 

[root@www ~]# lftp -c "commands" 

选项 与 参数 : 

-p : 后 面 可 以 直接 接 上 远程 FTP 主机 提供 的 port 
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-u : 后 面 则 是 接 上 账号 与 密码 ， 就 能 够 连接 上 远程 主机 了 

如 果 没 有 加 账号 密码 ， lftp 默认 会 使 用 anonymous 尝试 匿名 登录 

-f: 可 以 将 指令 写 入 脚本 中 ， 这 样 可 以 帮助 进行 shell script 的 自动 处 理 
咀 ! 

-C: 后 面 直接 加 上 所 需要 的 指令 。 

# 范例 一 : 利用 lftp 登入 昆山 科大 的 FTP 服务 器 

[root@www ~]# yum install lftp 

[root@www ~]# lftp ftp.ksu.edu.tw 

lftp ftp.ksu.edu.tw:~> 


# 瞧 ! 一 下 子 就 登入 了 ! 很 快乐 吧 ! 人 和 人! 你 同样 可 使 用 help 去 查阅 相 
关内 


部 指令 


至 于 登入 FTP 主机 后 ， 一 样 可 以 使 用 『help」 来 显示 出 可 以 执行 的 指 
令 ， 与 ftp 很 类 


似 啦 ! 不 过 多 了 书签 的 功能 ， 而 且 也 非常 的 类 似 bash 呐 ! 很 不 错 哆 ! 
除了 这 个 好 用 的 


2 FTP 软件 之 外 ， 事 实 上 还 有 很 多 图 形 接 口 的 好 用 软件 呢 ! 
和 常见 的 就 是 


gftp 了 ， 非 常 的 容易 上 手 喔 ! CentOS 本 身 就 有 提供 gftp 了 ， 你 可 以 拿 
出 原版 的 光 


盘 来 安装 ， 然 后 进入 X Window 后 ， 启动 一 个 shell ， 输 入 『 gftp 」 就 
能 够 发 现 他 


的 好 用 啦 ! 


如 果 你 想 要 定时 的 去 捉 下 昆山 科大 FTP 网 站 下 的 /pub/CentOS/RPM- 
GPG* 的 档案 


时 ， 那 么 那个 脚本 应 该 要 怎么 写 呢 ?我们 尝试 来 写 写 看 吧 ! 
# 使 用 档案 配合 lftp 去 处 理 时 : 


瑟 











[root@www ~]# mkdir lftp; cd lftp 
[root@www lftp]# vim lftp.ksu.sh 
open ftp.ksu.edu.tw 

cd /pub/CentOS/ 

mget -c -d RPM-GPG* 

bye 


[root@www lftp]# lftp -f lftp.ksu.sh 


[root@www lftp]# ls 

lftp.ksu.sh RPM-GPG-KEY-CentOS-3 RPM-GPG-KEY-CentOS-4 
RPM-GPG-KEY-CentOS-6 

RPM-GPG-KEY-beta RPM-GPG-KEY-centos4 RPM-GPG-KEY-CentOS-5 
# 直接 将 要 处 理 的 动作 加 入 lftp 指令 中 

[root@www lftp]# vim lftp.ksu.sh 

lftp -c "open ftp.ksu.edu.tw 

cd /pub/CentOS/ 

mget -c -d RPM-GPG* 

bye" 

[root@www lftp]# sh lftp.ksu.sh 
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获 迎 使 用 Pidgin! 


您 沿 未 设 定 任何 即时 通讯 的 帐 绍 。 要 使 用 Pidgin 来 通讯 ， 请 先 按 下 面 
的 【新 增 」 按 纽 ， 表 设 定好 您 的 帐号 即 林 。 如 果 您 希望 Pidgin 使 用 地 
pn 


您 如 果 斋 总 新 增 、 修 羽 或 删除 帐号 ， 只 要 般 过 好 友 清 单 上 的 「 帐 号 = 
管理 帐号 」 指 令 ， 即 可 返回 这 司 建 面 。 


| Xx 天 用 CO 





若 为 非 匿 名 登录 时 ， 则 可 以 使 用 『 open -u username,password hostname 
」 修 改 


lftp.ksu.sh 的 第 一 行 ! 如 果 再 将 这 个 脚本 写 入 crontab 当中 ， 你 就 可 以 定 
时 的 以 


FTP 进行 上 传 /下 载 的 功能 嘿 ! 这 就 是 文字 指令 的 好 处 ! 
5.3.3 图 形 接口 的 实时 通讯 软件 : pidgin (gaim 的 延伸 ) 


a 道 什 么 是 MSN, 雅虎 实时 通 以 及 其 他 的 通讯 软件 吧 ? 
那 


上 这 些 服 务 嚣 时， 该 怎么 处 理 哪 ? 很 简单 ， 在 XX Window 底下 使 用 
pidgin 束 好 了 ! 简 


直 简 单 到 不 行 一 请 先进 入 X Window 系统 ， 然 后 经 过 『 应 用 程序 」--> 
[ 因特网] --> 


[Pidgin 网 络 实时 通 」 启 动 他 即 可 (请 注意 你 必须 已 经 安装 了 pidgin 
了 ， 可 用 yum 


install pidgin 处 理 )。 


不 过 ， 伤 脑筋 的 是 ， 我 们 所 安装 的 basic server 类 型 的 CentOS 6.x 主要 
做 为 服 


务 句 之 用 ， 所 以 连 图 形 接 口 也 没有 给 我 们 。 “所 以 ， 马 哥 又 用 另外 一 部 
主机 安装 成 


Desktop 的 模式 ， 利 用 该 部 主机 来 测试 pidgin 这 玩意 儿 的 ! 因此 ， 懈 下 
的 练习 你 也 


可 以 先 略 过 ， 等 到 你 安装 另 一 部 Desktop linux 时 再 来 玩 玩 ! 
图 5.3-1、pidgin 的 欢迎 画面 


在 上 图 中 按 下 『 新 增 ] ， 然 后 你 会 看 到 如 下 的 画面 : 
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图 5.3-2、pidgin 文 持 的 实时 通讯 数据 


pidgin 支持 的 通讯 有 人 够 多 的 ! 我 们 使 用 MSN 来 作 个 解释 
TT 
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基本 设 定 公 ) | 进 尼 设 定 A) | 代理 和 伺服 器 红 ) 


登 人 选项 
通讯 协定 (DD: 


ma 
CE 





密码 人 P) : ee 
口 记 住 密 确 人 Ww 
使 用 者 自 定 选项 
帐号 别名 {只 在 本 柑 生 效 ) 必 ) : 
口 新 邮件 通知 M) 
口 使 用 下 烈 好 友 图 示 吉 : 





图 5.3-3、 设 定 MSN 的 账号 示意 图 


如 上 图 ， 在 画面 中 输入 你 的 账号 与 密码 ， 如 果 是 在 公用 的 计算 机 上 ， 千 
万 不 要 校 下 


『 记 住 密码 上 项 目 喔 ! 按 下 新 增 后 ， pidgin 预 设 就 会 答 试 登入 了 ! 登入 
后 的 画面 如 下 


所 示 : 
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好 友 介 ) 帐号 他 工具 人 说明) 


外 cathy~ 








候 Tim 
@ Vicky 





交谈 (C)》 选项 人 o)， 信守 3'E) 


© Novia~ 


8 字 型 人) 中 插入 人 ) 因 笑 一 个 6) | 





| 司 窜 汀 于 首 中 间 形 回 上 @ 


总 
图 5.3-4、 使 用 pidgin 的 MSN 方式 进行 连天 喝 


如 果 想 要 注销 了 ， 那 么 就 按 下 图 5.3-4 最 右边 那个 窗口 ， 将 『 启 动 1 的 
那个 方 框 


义 选 取消 ， 你 就 直接 注销 哆 ! 
5.4 文字 接口 网 页 浏览 





什么 ? 文字 界面 竟然 有 浏览 器 ! 别 如 了 好 不 好 ? 呵呵 ! 谁 有 那个 时 间 在 
速 你 哆 ! 真 


的 啦 ! 有 这 个 东西 ， 是 在 文字 界面 下 上 网 浏览 的 好 工具 ! 分 别 是 links 
及 wget 这 两 


个 宝贝 重 ， 但 是 ， 你 必需 要 确定 你 已 经 安装 了 这 两 个 套件 才 行 。 好 佳 
在 的 是 ， CentOS 预 


设 这 两 个 玩意 儿 都 有 安装 喔 ! 底下 就 让 我 们 来 聊 一 聊 这 两 个 好 用 的 家 伙 
吧 ! 


5.4.1 文字 浏览 器 : links 
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root@www:~Hlftp [75x23] 








其 实 早期 鸟 哥 最 常 使 用 的 是 lynx 这 个 文字 浏览 囊 ， 不 过 CentOS 从 5.x 
以 后 默 


认 使 用 的 文字 浏览 器 是 ”links 这 一 文 ， 这 两 支 的 使 用 方式 又 非常 的 类 
似 ， 因 此 ， 在 这 





一 版 当中 ， 我 们 就 仪 介绍 links 吕 ! 知 对 lynx 有 兴趣 的 话 ， 自己 man 一 
下 吧 ! 


这 个 指令 可 以 让 我 们 来 浏览 网 页 ， 但 乌 哥 认为 ， 这 个 档案 最 大 的 功能 是 
在 『 查阅 


Linux 本 机 上 面 以 HTML 语法 写成 的 文件 数据 (document)」 怎么 说 呢 ? 
如 果 你 曾经 到 


由 本 机 底下 的 /usr/share/doc 这 个 目录 看 过 文件 数据 的 话 ， 就 会 常常 
现 一 些 


网 页 档案 ， 使 用 vi 去 查阅 时 ， 老 是 看 到 一 堆 HTML 的 语法 ! 有 但 阅读 
啊 一 这 时 候 使 


用 links 就 是 个 好 方法 啦 ! 可 以 看 的 清 清楚 楚 啊 ! 人 人 

[root@www ~]# links [options] [URL] 

选项 与 参数 : 

-anonymous [0|1]: 是 否 使 用 匿名 登录 的 意思 ; 

-dump [0|1] : 是 否 将 网 页 的 数据 直接 输出 到 standard out 而 非 links 
软件 功能 

-dump_charset : 后 面 接 想 要 透 过 dump 输出 到 屏幕 的 语系 编码 ，big5 使 
用 cp950 喔 


# 范例 一 : 浏览 Linux kernel 网 站 








[root@www ~]# links http://www.kernel.org 
当 我 直接 输入 links 网 站 网 址 后 ， 就 会 出 现 如 下 的 图 示 : 
图 5.4-1、 使 用 links 查询 网 页 数据 的 显示 结果 





上 面 这 个 画面 的 基本 说 明 如 下 : 
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a 由 于 是 文字 型 态 ， 所 以 编排 可 能 会 有 点 位 移 ! 不 过 不 
本 紧 ! 


不 会 影 啊 我 们 看 噬 噬 ! 
这 个 时 候 可 以 使 用 『 上 下 键 」 来 让 光标 在 上 面 的 选项 当中 (如 信箱 、 


书签 等 

等 的 )， 按 下 Enter 就 进入 该 页 面 
可 以 使 用 『 左 右键 」 来 移动 『 上 一 页 或 下 一 页 ] 
一 些 常见 功能 按键 : 

oh: history ， 曾 经 浏览 过 的 URL 就 显示 到 画面 中 


0g: Goto URL， 按 g 后 输入 网 页 地 址 (URL) 如 :http:/www.abc.edu/ 


0 d: download， 将 该 链接 数据 下 载 到 本 机 成 为 档案 ; 

o qd: Quit， 离 开 links 这 个 软件 ; 

00: Option， 进 入 功能 参数 的 设 定 值 修 改 中 ， 最 终 可 写 入 

~/.elinks/elinks.conf 中 

o Ctrl+C : 强迫 切断 links 的 执行 。 

o 箭头 键 : 
上 : 移动 光标 至 本 页 中 "上 一 个 可 连结 ， 
下 : 移动 光标 至 本 页 中 "下 一 个 可 连结 点 " . 





TT 





左 : back. 跳 回 上 一 页 . 
右 : 进入 反 白光 标 所 链接 之 网 页 . 
ENTER 同 鼠 标 " 右 " 键 . 


至 于 如 果 是 浏览 Linux 本 机 上 面 的 网 页 档案 ， 那 就 可 以 使 用 如 下 的 方 


式 : 
[root@www ~]# links /usr/share/doc/HTML/index.html 


在 鸟 哥 的 CentOS 6.x 当中 ， 有 这 么 一 个 档案 ， 我 就 可 以 利用 links 来 取 
出 察看 响 ! 


显示 的 结果 有 点 像 底 下 这 样 : 
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图 5.4-2、 使 用 links 查询 本 机 的 HTML 文件 档案 


因为 你 的 环境 可 能 是 在 Linux 本 机 的 ttyl~tty6 ， 所 以 无 法 显示 
文 ， 





这 个 时 候 你 就 得 要 设 定 为 : [LANG=en_USJ」 之 类 的 语系 设 定 才 行 
喔 ! 另外 ， 如 果 某 些 


时 刻 你 必须 上 网 点 选 菜 个 网 站 以 目 动 取得 更 新 时 。 “举例 来 说 ， 早 期 的 
目 动 在 线 更 新 主 


机 名 系统 ， 仅 文 持 网 页 更 新 ， 那 你 如 何 进行 更 新 呢 ? 嘿嘿 ! 可 以 使 用 
links 喔 ! 利用 


-dump 这 个 参数 处 理 先 : 
# 透 过 links 将 tw.yahoo.com 的 网 页 内 容 整 个 抓 下 来 储存 








[root@www ~ 1]# links -dump http://tw.yahoo.com > yahoo.html 


# 0 GET 功能 可 以 上 传 账号 为 user 密码 为 pw ， 用 文字 接口 


理 为 : 
[root@www ~]# links -dump \ 
> http://some.site.name/web.php?name=user&password=pw > testfile 


上 面 的 网 站 后 面 有 加 个 问号 (?) 对 吧 ? 后 面 接 的 则 是 利用 网 页 的 『 GET 
] 功能 取得 的 
各 项 变量 数据 ，“ 利用 这 个 功能 ， 我 们 就 可 以 直接 点 选 到 该 网 站 上 吃 ! 
非常 的 方便 吧 ! 


而 且 会 将 执行 的 吉 果 输出 到 testfile 档案 中 ， 不 过 如 果 网 站 提供 的 数据 
是 以 『 POST | 


为 主 的话 ， 那 鸟 哥 就 不 知道 如 何 搞定 了 。 GET 与 POST 是 WWW 通讯 
协议 中 ， 用 来 将 数 


据 透 过 浏览 器 上 传 到 服务 器 端的 一 种 方式 ，“ 一般 来 说 ， 目 前 讨论 区 或 
部 落 格 等 ， 大 多 


使 用 可 以 支持 较 多 数据 的 POST 方式 上 传 啦 ! 关于 GET 与 POST 的 相 
关 信息 我 们 会 在 


第 二 十 章 WWW 服务 器 当中 再 次 的 提 及 ! 
net.qiang@hotmail.com 

必 

5.4.2 文字 接口 下 载 器 : wget 


2 links 是 在 进行 网 页 的 『 浏 览 ] ， 那 么 wget 就 是 在 进行 『 网 页 数 
后 的 取 


得 」。 举 例 来 说 ， 我 们 的 Linux 核心 是 放置 在 www.kernel.org 内 ， 主 要 
同时 提供 ftp 


与 http 来 下 载 。 我 们 知道 可 以 使 用 lftp 来 下 载 资料 ， 但 如 果 想 要 用 浏览 
器 来 下 载 呢 ? 


那 束 利用 wget 吧 ! 
[root@www ~]# wget [option] [网 址 ] 
选项 与 参数 : 


2 的 网 站 有 提供 账号 与 密码 的 保护 时 ， 可 以 利用 这 两 个 参数 来 
葵 入 


喔 ! 

--http-user=usrname 

--http-password=password 

--quiet : 不 要 显示 wget 在 抓 取 数 据 时 候 的 显示 讯 姑 
更 多 的 参数 请 目 行 参考 man wget 吧 ! ^ 人 和 





# 范例 一 : 请 下 载 2.6.39 版 的 核心 

[root@www ~]# wget \ 

> http:/www.kernel.org/pub/linux/kernel/v2.6/linux-2.6.39.tar.bz2 
--2011-07-18 16:58:26-- 
http:/www.kernel.org/pub/linux/kernel/v2.6/.. 

Resolving www.kernel.org... 130.239.17.5, 149.20.4.69, 
149.20.20.133, ... 

Connecting to www.kernel.org|130.239.17.5|:80... connected. 
HTTP request sent, awaiting response... 200 OK 

Length: 76096559 (73M) [application/x-bzip2] 

Saving to: ‘linux-2.6.39.tar.bz2' 

88% [================================> |] 67,520,536 1.85M/s 
eta 7s 


你 瞧 瞧 一 很 可 爱 吧 ! 不 必 透 过 浏览 器 ， 只 要 知道 网 址 后 ， 立 即 可 以 进行 
档案 的 下 载 ， 又 


快速 又 方便 ， 还 可 以 透 过 proxy 的 帮助 来 下 载 呢 ! 透 过 修改 /etc/wgetrc 
来 设 定 你 的 


代理 服务 器: 

[root@www ~]# vim /etc/wgetrc 

#http_proxy = http://proxy.yoyodyne.com:18023/ <== 找 到 底下 这 几 行 ， 
大 约 在 78 行 


#ftp_proxy = http://proxy.yoyodyne.com:18023/ 
#use_proxy = on 


# 将 他 改 成 类 似 底下 的 模样 ， 记 得 ， 你 必须 要 有 可 接受 的 proxy 主机 才 
行 ! 
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http_proxy = http://proxy.ksu.edu.tw:3128/ 
use_proxy = on 

5.5 封包 搬 取 功能 


很 多 时 候 由 于 我 们 的 网 络 联机 出 现 问题 ， 使 用 类 似 ping 的 软件 功能 却 
又 无 去 找 出 


问题 点 ， 最 常见 的 是 因为 路 由 与 IP 转 递 后 所 产生 的 一 些 困扰 (请 参考 防 
火 墙 与 NAT 


主机 部 分 )， 这 个 时 候 要 怎么 办 ? 最 简单 的 方法 就 是 『 分 析 封 包 的 流 
问 」 哆 ! 透 过 分 析 


封包 的 流向 ， 我 们 可 以 了 解 一 条 联机 应 该 是 如 何 进 行 双向 的 联机 的 动 
作 ， 也 就 会 清楚 


的 了 解 到 可 能 发 生 的 问题 所 在 了 ! 后 下 我 们 束 来 谈 一 谈 这 个 tcpdump 与 
图 形 接口 的 封 


包 分 析 软 件 吧 ! 
5.5.1 文字 接口 封包 搓 取 器 : tcpdump 
说 实在 的 ， 对 于 tcpdump 这 个 软件 来 说 ， 你 甚至 可 以 说 这 个 软件 其 实 就 











征 个 黑客 


软件 ， 因为 他 不 但 可 以 分 析 封 包 的 流 问 ， 连 封包 的 内 容 也 可 以 进行 
[监听 」， 如 果 你 


使 用 的 传输 数据 是 明码 的 话 ， 不 得 了 了， 在 router 或 hub 上 面 束 可 能 被 人 
家 监听 走 了 ! 


们 在 第 二 童 谈 到 的 _CSMA/MCD_ 流程 中 ， 不 是 说 过 有 所 谓 的 『 监 听 软 


件 」 吗 ? 这 个 


tcpdump 就 是 啦 ! 很 可 怕 响 ! 所 以 ， 我 们 也 要 来 了 解 一 下 这 个 软件 啊 ! 
( 注 : 这 个 tcpdump 


必须 使 用 root 的 号 份 执行 ) 

[root@www ~]# tcpdump [-AennqX] [-i 接口 ] [-w 储存 档 名 ] [-c 次 数 ] 
[Fr 档案 ] [所 欲 括 取 的 封包 数据 格式 ] 

选项 与 参数 : 


-A : 封包 的 内 容 以 ASCII 显示 ， 通 常用 来 提取 WWW 的 网 页 封包 资 
料 。 





-e : 使 用 资料 连接 层 (OSI 第 二 层 ) 的 MAC 封包 数据 来 显示 ; 
-nn: 直接 以 IP 及 port number 显示 ， 而 非 主 机 名 与 服务 名 称 
-4 : 仅 列 出 较为 简短 的 封包 信息 ， 每 一 行 的 内 容 比 较 精 简 


-又 : 可 以 列 出 十 六 进 制 (hex) 以 及 ASCII 的 封包 内 容 ， 对 于 监听 封包 内 
容 


很 有 用 
-i : 后 面 接 要 『 监 听 」 的 网 络 接口 ， 例 如 eth0, lo, ppp0 等 等 的 界面 ; 
-Ww ”: 如 果 你 要 将 监 昕 所 得 的 封包 数据 储存 下 来 ， 用 这 个 参数 就 对 了 ! 


后 面 接 
档 名 
T : 从 后 面 接 的 档案 将 封包 数据 读 出 来 。 那 个 『 档 案 」 是 已 经 存在 的 档 


并 且 这 个 『 档 案 」 是 由 -w 所 制作 出 来 的 。 

-Cc : 监听 的 封包 数 ， 如 果 没 有 这 个 参数 ， tcpdump 会 持续 不 断 的 监听 ， 
直到 使 用 者 输入 [ctr]-c 为 止 。 

所 和 欲 揪 取 的 封包 数据 格式 : 

我 们 可 以 专门 针对 某 些 通讯 协议 或 者 是 IP 来 源 进 

行 封包 搬 取 ， 
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那 就 可 以 简化 输出 的 结果 ， 并 取得 最 有 用 的 信息 。 常 见 的 表示 方法 有 : 
host foo, 'host 127.0.0.1 : 针对 单 部 主机 来 进行 封包 搬 取 

met 192.168' : 针对 茶 个 网 域 来 进行 封包 的 揪 取 ; 

'src host 127.0.0.1' "dst net 192.168': 同时 加 上 来 源 (sro) 或 目标 

(dst) 限 制 

tcp port 21: 还 可 以 针对 通讯 协议 侦 测 ， 如 tcp, udp, arp, ether 等 

还 可 以 利用 and 与 or 来 进行 封包 数据 的 整合 显示 呢 ! 

# 范例 一 : 以 IP 与 port number 捉 下 eth0 这 个 网 络 卡 上 的 封包 ， 持 续 3 
秒 


[root@www ~]# tcpdump -i eth0 -nn 


tcpdump: verbose output suppressed, use -V or -vv for full protocol decode 
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes 


17:01:47.360523 IP 192.168.1.101.1937 > 192.168.1.100.22: Flags [.], ack 
196, win 65219, 


17:01:47.362139 IP 192.168.1.100.22 > 192.168.1.101.1937: Flags [P.], seq 
196:472, ack 1, 


17:01:47.363201 IP 192.168.1.100.22 > 192.168.1.101.1937: Flags [P.], seq 
472:636, ack 1, 


17:01:47.363328 IP 192.168.1.101.1937 > 192.168.1.100.22: Flags [.], ack 
636, win 64779, 


<== 按 下 [ctrl]-c 之 后 结束 

6680 packets captured <== 捉 下 来 的 封包 数量 

14250 packets received by filter <== 由 过 滤 所 得 的 总 封包 数量 
7512 packets dropped by kernel <== 被 核心 所 丢弃 的 封包 


如 果 你 是 第 一 次 看 tcpdump 的 man page 时 ， 肯 定 一 个 头 两 个 大 ， 因 为 
tcpdump 几乎 


都 是 分 析 封 包 的 表 头 数据 ， 用 户 如 果 没 有 简易 的 网 络 封包 基础 ， 要 看 展 
粉 难 响 ! 所 以 ， 


将 TCP 封包 的 表 头 资料 理解 理解 才 好 






那个 范例 一 所 产生 的 输出 范例 中 ， 我 们 可 以 约略 区 分 为 数 个 字段 ， 我 
们 以 范例 一 当中 


那个 特殊 字体 行 来 说 明 一 下 : 


17:01:47.362139: 这 个 是 此 封包 被 搬 取 的 时 间 ，『 时 :分 : 秒 」 的 单 


位 ; 
IP: 透 过 的 通讯 协议 是 了 P ; 
192.168.1.100.22 > : 传送 端 是 192.168.1.100 这 个 IP， 而 传送 的 port 


number 为 22， 你 必须 要 了 解 的 是 ， 那 个 大 于 (>) 的 符号 指 的 是 封包 的 
传输 方 


向 咀 ! 

192.168.1.101.1937: 接收 端的 耳 是 192.168.1.101， 且 该 主机 开局 
port 1937 来 接收 ; 
m [P.], seq 196:472: 这 个 封包 带 有 PUSH 的 数据 传输 标志 ， 且 传 输 的 数 


为 整体 数据 的 196~472 byte; 
ack 1: ACK 的 相关 资料 。 


最 简单 的 说 法 ， 就 是 该 封包 是 由 192.168.1.100 传 到 192.168.1.101， 透 
过 的 








port 是 由 22 到 1937 ， 使 用 的 是 PUSH 的 旗 标 ， 而 不 是 SYN 之 类 的 主 
动 联机 标志 。 


呵呵 ! 不 容易 看 的 屏 吧 ! 所 以 说 ， 上 头 才 讲 请 务必 到 _TCP_ 表 头 资料 的 
部 分 去 瞧 一 瞧 的 





呵 ! 
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再 来 ， 一 个 网 络 状态 很 忙 的 主机 上 面 ， 你 想 要 取得 东部 主机 对 你 联机 的 
封包 数据 而 


己 时 ， 使 用 tcpdump 配合 管线 命令 与 正规 表示 法 也 可 以 ， 不 过 ， 毕 








不 好 换取 ! 我 


们 可 以 透 过 tcpdump 的 表示 法 功能 ， 束 能 够 轻易 的 将 所 需要 的 数据 独立 
的 取出 来 。 在 


上 面 的 范例 一 当中 ， 我 们 仅 针 对 eth0 做 监听 ， 所 以 整个 eth0 接口 上 面 
的 数据 都 会 被 


显示 到 屏幕 上 ， 不 好 分 析 啊 ! 那么 我 们 可 以 简化 吗 ? 例如 只 取出 port 
21 的 联机 封包 ， 


可 以 这 样 做 : 

[root@www ~]# tcpdump -ietho -nn port 21 

tcpdump: verbose output suppressed, use -v or -vv for full protocol 

decode 

listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 
01:54:37.96 IP 192.168.1.101.1240 > 192.168.1.100.21: . ack 1 win 65535 
01:54:37.96 IP 192.168.1.100.21 > 192.168.1.101.1240: P 1:21(20) ack 

1 win 5840 

01:54:38.12 IP 192.168.1.101.1240 > 192.168.1.100.21: . ack 21 win 
65515 

01:54:42.79 IP 192.168.1.101.1240 > 192.168.1.100.21: P 1:17(16) ack 
21 win 65515 

01:54:42.79 IP 192.168.1.100.21 > 192.168.1.101.1240: . ack 17 win 5840 


01:54:42.79 IP 192.168.1.100.21 > 192.168.1.101.1240: P 21:55(34) ack 


17 win 5840 


瞧 ! 这 样 就 仅 提 出 port 21 的 信息 而 已 ， 且 仔细 看 的 话 ， 你 会 发 现 封包 
的 传递 都 是 双 


向 的 ， client 端 发 出 『 要 求 」 而 server 端 则 予以 『 响 应 」， 所 以 ， 当 然 
是 有 去 有 回 


啊 ! ”而 我 们 也 就 可 以 经 过 这 个 封包 的 流 癌 来 了 解 到 封包 运作 的 过 程 。 
举例 来 说 : 


1. 我 们 先 在 一 个 终端 机 窗口 输入 『 tcpdump -ilo -nn 」 的 监听 ， 
2. 再 另 开 一 个 终端 机 窗口 来 对 本 机 (127.0.0.1) 登入 『ssh localhostj 
那么 输出 的 结果 会 是 如 何 ? 





[root@www ~]# tcpdumop -i lo -nn 

1 tcpdump: verbose output suppressed, use -v or -vv for full protocol 
decode 

2 listening on 1o, link-type EN10MB (Ethernet), capture size 96 bytes 

3 11:02:54.253777 IP 127.0.0.1.32936 > 127.0.0.1.22: 9 
933696132:933696132(0) 

win 32767 <mss 16396,sackOK,timestamp 236681316 0,nop,wscale 2> 
4 11:02:54.253831 IP 127.0.0.1.22 > 127.0.0.1.32936: S 
920046702:920046702(0) 

ack 933696133 win 32767 <mss 16396,sackOK,timestamp 236681316 


236681316,nop， 


wscale 2> 
net.giang(@@hotmail.com 
5 11:02:54.253871 IP 127.0.0.1.32936 > 127.0.0.1.22: .ack 1 win 8192 
<nop, 
nop,timestamp 236681316 236681316> 
6 11:02:54.272124 IP 127.0.0.1.22 > 127.0.0.1.32936: P 1:23(22) ack 
1 win 8192 
<nop,nop,timestamp 236681334 236681316> 
7 11:02:54.272375 IP 127.0.0.1.32936 > 127.0.0.1.22: . ack 23 win 8192 
<nop, 
nop,timestamp 236681334 236681334> 
上 表 显 示 的 头 两 行 是 tcpdump 的 基本 说 明 ， 然 后 : 
第 3 行 显示 的 是 [来 自 dient 端 ， 和 带 有 SYN 主动 联机 的 封包 」 ， 


第 4 行 显示 的 是 『 来 自 server 端 ， 除 了 啊 应 client 端 之 外 (ACK)， 还 


市 

有 SYN 主动 联机 的 标志 ; 
第 5 行 则 显示 client 端 响应 server 确定 联机 建立 (ACK) 
第 6 行 以 后 则 开始 进入 数据 传输 的 步 又。 


从 第 3-5 行 的 流程 来 看 ， 熟 不 熟悉 啊 ? 没 错 ! 那 就 是 三 回 交 握 的 基础 流 


程 啦 ! 够 
有 趣 吧 ! 不 过 tcpdump 之 所 以 被 称 为 黑客 软件 之 一 可 不 止 上 头 介绍 的 








功能 响 ! 上 面 


介绍 的 功能 可 以 用 来 作为 我 们 主机 的 封包 联机 与 传输 的 流程 分 析 ， 这 
将 有 助 于 我 们 了 


人 运作 ， 同 时 了 解 到 主机 的 防火 增设 定 规则 是 否 有 需要 修订 的 
地 方 。 


如 果 我 们 使 用 tcpdump 在 router 上 面 监听 『 明 
码 」 人间 


输 数据 时 ， 例如 FTP 传输 协议 ， 你 党 得 会 发 生 什 么 问题 呢 ? 我 们 先 在 
主机 端 下 达 


『 tcpdump -i lo port 21 -nn -X 」 然 后 再 以 ftp 登入 本 机 ， 并 输入 账号 与 
密码 ， 结 


果 你 就 可 以 发 现 如 下 的 状况 : 





[root@www ~]# tcpdump -i lo -nn -X 'port 21' 

0x0000: 4500 0048 2a28 4000 4006 1286 7f00 0001 E..H*(@.@....... 
0x0010: 7f00 0001 0015 80ab 8355 2149 835c d825 ......... UI!I\.% 
0x0020: 8018 2000 fe3c 0000 0101 080a 0e2e 0b67 .....<......... g 
0x0030: 0e2e 0b61 3232 3020 2876 7346 5450 6420 ...a220.(vsFTPd. 
Ox0040: 322e 302e 3129 0d0a 2.0.1).. 

0x0000: 4510 0041 d34b 4000 4006 6959 7f00 0001 E..A.K@.@.iY.... 
0x0010: 7f00 0001 80ab 0015 835c d825 8355 215d .…… \.%.U!] 
0x0020: 8018 2000 fe35 0000 0101 080a 0e2e 1b37 .....5......... 7 


0x0030: 0e2e 0b67 5553 4552 2064 6d74 7361 690d ...gUSER.dmtsai. 


0X0040: 0a . 

0x0000: 4510 004a d34f 4000 4006 694c 7f00 0001 E..J.O0@.@.iL.... 
0x0010: 7f00 0001 80ab 0015 835c d832 8355 217f........\.2.Ul. 
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0 

0x0020: 8018 2000 fe3e 0000 0101 080a 0e2e 3227 .....>........ 2 1 
0x0030: 0e2e 1b38 5041 5353 206d 7970 6173 7377 ...8PASS.mypassw 
0x0040: 6f72 6469 7379 6f75 0d0a ordisyou.. 


上 面 的 输出 结果 已 经 被 简化 过 了 ， 你 必须 要 上 自行 在 你 的 输出 结果 当中 搜 
寻 相关 的 字符 串 


才 行 。 从 上 面 输出 结果 的 特殊 字体 中 ， 我 们 可 以 友 现 『 该 FTP 软件 使 
用 的 是 vsftpd ， 


并 且 使 用 者 输入 dmtsai 这 个 账号 名 称 ， 且 密码 是 mypasswordisyou」 嘿 
嘿 ! 你 说 可 


不 可 怕 啊 ! 如 果 使 用 的 是 明码 的 方式 来 传输 你 的 网 络 数据 ? ”所 以 我 们 
才 负 第 在 讲 啊 ， 


网 络 是 很 不 安全 滴 ! 


另外 你 得 了 解 ， 为 了 让 网 络 接口 可 以 让 tcpdump 监听， 所 以 执行 
tcpdump 时 网 络 


接口 会 启动 在 [错乱 模式 (promiscuous)」， 上 所 以 你 会 在 
/Var/log/messages 里 面 看 


到 很 多 的 警告 讯 明 ， ”通知 你 说 你 的 网 络 卡 被 设 定 成 为 错乱 模式 ! 别 担 
心 ， 那 是 正常 的 。 

















至 于 更 多 的 应 用 ， 请 参考 man tcpdump 哆 ! 

例题 : 

如 何 使 用 tcpdump 监听 (1) 来自 eth0 适 配 卡 且 (2) 通 讯 协议 为 port 

22 ，(3) 封 包 来 源 为 192.168.1.101 的 封包 资料 ? 

答 : 

tcpdump -i eth0 -nn 'port 22 and src host 192.168.1.101' 

5.5.2 图 形 接口 封包 搬 取 絮 : wireshark 

tcpdump 是 文字 接口 的 封包 括 取 器 ， 那 么 有 没有 图 形 接口 的 ? 有 啊 ! 那 


就 是 





wireshark ( 注 1) 这 套 软件 。 这 套 软 件 早期 称 为 ethereal ， 目 前 同时 提供 
文字 接口 


的 tethereal 以 及 图 形 接口 的 wireshark 两 个 吹 吹 。 由 于 我 们 当初 安装 时 
预 设 并 没有 


装 这 套 ， 因 此 你 必须 要 先 使 用 yum 去 网 络 安装 嘱 ! 也 可 以 拿 出 光盘 来 
安装 啦 ! 有 两 套 


需要 安装 ， 分 口 的 “wireshark 以 及 图 形 接口 的 “wireshark- 
gnome 软件 。 


装 方 式 如 下 : 
[root@www ~]# yum install wireshark wireshark-gnome 


司 动 这 套 软 件 的 方法 很 简单 ， 你 必须 要 在 X Window 确 下 ， 透 过 「 永 用 
程序 」--> 『 因 


特 网 」--> 『wireshark network analyzer」 就 可 以 启动 啦 ! 启动 的 画面 如 
下 所 示 : 
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The Wireshark Network Analyzer 
File Edit View Go Capture Analyze Statistics Telephony Tools Help 


Ee 国 图 ~ 


| ~ | Expression... | clear [Apply 
















Sl Interface List Open 


Live list of the capture interfaces (counts incoming packets) Open a previously captured file 






Start capture on interface: Open Recent: 


经 | eth0 从 
| Pseudo-device that captures on all interfaces Sample Captures 
好 USB bus number 1 A rich assortment of example capture files or 


好 lo 
洒 Capture Options 


Start a capture with detailed options 








(<l 


Ready to load or capture No Packets Profile: Default 


图 5.5-1、wireshark 的 使 用 示意 图 


其 实 这 一 套 软 件 功能 非常 强大 ! 乌 哥 这 里 仅 讲 简单 的 用 法 ， 知 有 特殊 需 


自己 找 找 数 据 吃 。 想 要 开始 搬 取 封包 前 ， 得 要 设 定 一 下 监 昕 的 接口 之 
类 的 ， 因 此 点 选 


图 5.5-1 画面 中 的 网 络 卡 小 图 标 吧 ! 就 会 出 现 如 下 的 画面 给 你 选择 了 。 
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Wireshark: Capture Options 





Capture 


Interface: | lo 













IP address: etho0 
USB bus number 1: usbmon1l 


同 Capture Pseudo-device that captures on all interfaces: any 


已 Capture c= 
D Limit each packet to 二 bytes 
Capture Filter | | 


Capture File(s) Display Options 


File: | Browse…| MI Update list of packets in real time 


DD Use multiple files 
了 | 回 Automatic scrolling in live capture 





YM Hide capture info dialog 





9 Name Resolution 

Stop Capture ... Enable MAC name resolution 

口 ... after 

口 … after 

DD ... after | 1 L . per 
| 求助 (H) 


图 5.5-2、wireshark 的 使 用 示意 图 


在 上 图 中 ， 你 得 先 选 择 想 要 监听 的 接口 ， 鸟 哥 这 里 因为 担心 外 部 的 封包 
太 多 导致 画 


面 很 乱 ， 因 此 这 里 使 用 内 部 的 lo 接口 来 作为 范例 。 你 得 要 注意 ， lo 平 
时 是 很 安静 的 ! 


所 以 ， 乌 哥 在 点 选 了 『start」 之 后 ， 还 有 打开 终端 机 ， 之 后 使 用 『 ssh 


localhost 」 


来 尝试 登入 自己 ， 这 样 才 能 够 获得 封包 喔 ! 如 下 图 所 示 : 
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Capturing from lo - Wireshark 





File Edit View Go Capture Analyze Statistics Telephony Tools Help 
苇 谓 他 独创 忆 三 XxX 名 的 中 全 旦 国 国 ~ 
Filter Y | Expression... | Clear | Apply 














No. . Time \ Source Destination Protocol Infd a 
63 7.179363 | Srl SSHv2 Enda 
64 7.179612 hb wl TCP 458 
65 7.449560 结 东 侦 测 31 21 SSHv2 二 
66 7.452094 es SSHv2 Ena 
67 7.452172 CN ee TCP 458 
68 7.458465 TI se SSHv2 Enc 
69 7.458499 sel 了 TCP 458 
76 7.459665 流 1 1 SSHv2 End| 
71 7.459121 i hl SSHv2 En | 

| 


.471899 











lo - Wireshark =、 


File Edit View Go Capture Analyze Statistics Telephony Tools Help 


赎 沁 他 他 他 扇 也 X 名 名 所 清 3 全 时 国 国 ~ 


v | Expression... | Clear | Apply 

















No. . Time Source Destination Protocol Infc 


4 6.212968 








oi! 1 SSH Ser 
5 6.213165 Ci Hk | TCP 458 
6 6.213426 民 -hn Rh 
7 96.213588 -1 pa! TCP ssh 
8 6.216776 -| | SSHv2 Clilv 
Lom emesis | | D>) 
b Frame 6 (197 bytes on wire, 197 bytes captured) 2 


b Ethernet II, Src: 690:60:66 906:06:90 (990:609:06:00:90:69) ，Dst: 90:99:969 069:990:960 (99:699:006: 
b Internet Protocol Version 6 

Transmission Control Protocol, Src Port: 45836 (45836)，DSst Port: ssh (22), Seq: 1, Ack: 2 
b SSH Protocol 





606606 8680 680 80 90 680 80 96 96 60 860 80 06 86 dd 60 00 凡 .....，...,,， A 
6610 8680 88 0635 86 46 860 680 080 60 966 60 690 960 860 66 ...5.@.. ........ 
696290 890 688 68 90 80 91 680 96 680 80 996 00 80 80 60 96 i 
0030 60 60 96 60 680 81 b3 66 60 16 4a bg 9f 6f 4a 6b ........ .. J. .0Jk 
69646 f5 73 86 18 82 96 96 3d 80 890 91 91 98 9a 91 33 .5..... 本 eedee 3 
9659 9f bc 81 33 9f bc 53 53 48 2d 32 2e 30 2d 4f76  ...3..55 H-2.6-0p 
6666 65 6e 53 53 48 5f 35 2e 33 9d 60a enSSH 5. 3 


ee 


@ File: "mp/wiresharkXXXX8cLrix" 1... Packets: 75 Displayed: 75 Marked:... Profile: Default 
图 5.5-3、wireshark 的 使 用 示意 图 


若 没 有 问题 ， 等 到 你 搬 取 了 足够 的 封包 想 要 进行 分 析 之 后 ， 按 下 图 5.5- 
3 画面 中 


的 停止 小 图 示 ， 那 么 封包 撒 取 的 动作 就 会 终止 ，“ 接 下 来 ， 就 让 我 们 来 
开始 分 析 一 下 圭 


包 吧 ! 
图 5.5-4、wireshark 的 使 用 示意 图 


整个 分 析 的 画面 如 上 所 示 ， 画 面 总 共 分 为 三 大 区 块 ， 你 可 以 将 鼠标 光标 
移动 到 每 个 


区 块 中 间 的 移动 棒 ， ”就 可 以 调整 每 个 区 块 的 范围 大 小 了 。 第 一 区 块 主 
要 显示 的 是 封包 
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的 标 头 资料 ， 内 容 就 有 点 类 似 tcpdump 的 显示 结果 ， 第 二 区 块 则 是 详细 
的 表 头 资料 ， 


包括 讯 框 的 内 容 、 通 讯 协 议 的 内 容 以 及 socket pair 等 等 信息 。 第 三 区 块 
则 是 16 进 


位 与 ASCII 码 的 显示 结果 (详细 的 封包 内 容 )。 
如 果 你 觉得 某 个 封包 有 问题 ， 在 画面 1 的 地 方 点 选 该 封包 (图 例 中 是 第 


6 个 封 


包 )， 那 么 画面 2 与 3 就 会 跟着 变动 ! 由 于 乌 哥 测试 的 封包 是 加 密 数 据 
的 封包 ， 因 此 


画面 2 显示 出 封包 表 头 ， 但 画面 3 的 封包 内 容 就 是 乱码 啦 ! 透 过 这 个 


wireshark 你 


就 可 以 一 口气 得 到 所 需要 的 所 有 封包 内 容 啦 ! 而 且 还 是 图 形 接口 的 ， 很 
方便 吧 ! 


5.5.3 任意 启动 TCP/UDP 封包 的 塌 口 联机 : nc, netcat 


这 个 nc 指令 可 以 用 来 作为 某 些 服务 的 检测 ， 因 为 他 可 以 连接 到 某 个 
port 来 进行 


沟通 ， 此 外 ， 还 可 以 自行 启动 一 个 port 来 倾听 其 他 用 户 的 联机 响 ! 非常 
的 不 错 用 ! 如 


果 在 编译 nc 软件 的 时 候 给 予 『GAPING_SECURITY _ HOLE」 参数 的 
话 ， 嘿 咽 ! 这 个 软件 


还 可 以 用 来 取得 客户 端的 bash 哩 ! 可 怕 吧 ! 我 们 的 CentOS 预 设 并 没有 
给 予 上 面 的 参 


数 ， 所 以 我 们 不 能 够 用 来 作为 黑客 软件 一 但 是 nc 用 来 取代 telnet 也 是 











个 很 棒 的 功 

能 了 ! (有 的 系统 将 执行 文件 nc 改名 为 netcat 啦 ! ) 
[root@www ~]# nc [-u] [IP|host] [port] 

[root@www ~]# nc -1 [IPlhost] [port] 

选项 与 参数 : 

-|] : 作为 监听 之 用 ， 亦 即 开 局 一 个 port 来 监听 用 户 的 联机 ; 

-u : 不 使 用 TCP 而 是 使 用 UDP 作为 联机 的 封包 状态 

# 范例 一 : 与 telnet 类 似 ， 连 接 本 地 端的 port 25 查阅 相关 讯 奶 
[root@www ~]# yum install nc 


[root@www ~]# nc localhost 25 


这 个 最 简单 的 功能 与 ”telnet ”几乎 一 样 吧 ! 可 以 去 检查 茶 个 服务 啦 ! 不 
过 ， 更 神奇 的 在 


后 面 ，。” 我 们 可 以 建立 两 个 联机 来 传讯 虽 ! 举 个 例子 来 说 ， 我 们 先 在 服 
务 器 端 启 动 一 个 


port 来 进行 倾听 ; 

# 范例 二 : 激活 一 个 port 20000 来 监听 使 用 者 的 联机 要 求 

[root@www ~]# nc -1 localhost 20000 & 

[root@www ~]# netstat -tlunp | grep nc 

tcp 0 0 ::1:20000 :::* LISTEN 5433/nc 

# 启动 一 个 port 20000 在 本 机 上 ! 

接 下 来 你 再 开 另 外 一 个 终端 机 来 看 看 ， 也 利用 nc 来 联机 服务 器 ， 并 且 


输入 一 些 指令 看 
看 喔 ! 
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[root@www ~]# nc localhost 20000 
<== 这 里 可 以 开始 输入 字符 串 了 ! 


此 时 ， 在 客户 站 我 们 可 以 打 入 一 些 字 ， 你 会 发 现在 服务 器 端 会 同时 出 现 
你 输入 的 字眼 响 ! 


如 果 你 同时 给 予 一 些 额 外 的 参数 ， 例 如 利用 标准 输入 与 输出 (stdout, 
stdin) 的 话 ， 


那么 束 可 以 透 过 这 个 联机 来 作 很 多 事情 了 ! 当然 nc 的 功能 不 只 如 此 ， 
你 还 可 以 发 现 


很 多 的 用 途 喔 ! 请 自行 到 你 主机 内 的 /usr/share/doc/nc-1.84/scripts/ 目录 
下 看 看 


这 些 script ， 有 帮助 的 响 ! 不 过 ， 如 果 你 需要 额外 的 编译 出 侣 有 


GAPING_SECURITY_HOLE 功能 ， 以 使 两 端 联机 可 以 进行 额外 指令 的 
执行 时 ， 就 得 要 自行 


下 载 原始 码 来 编译 了 ! 
5.6 重 点 回 顾 


修改 网 络 接 口 的 便 件 相关 参数 ， 可 以 使 用 ifconfig 这 个 指令 ,包括 
MTU 等 


等 ; 


ifup 与 ifdown 其 实 只 是 script ， 在 使 用 时 ， 会 主动 去 





/etc/sysconfig/network-scripts ”下 找到 相对 应 的 装置 配置 文件 ， 才 能 够 正 
确 


的 启动 与 关闭 ， 
路 由 的 修改 与 查阅 可 以 使 用 route 来 查询 ， 此 外 ， route 亦 可 进行 新 
增 、 


删除 路 由 的 工作 ; 
ip 指令 可 以 用 来 作为 整个 网 络 环境 的 设 定 ， 利 用 ip link 可 以 修改 『 网 
洛 


er 


A ， 包括 MTU 与 MAC 等 等 ， 可 以 使 用 ip address 
多 改 


TCP/IP 方面 的 参数 ， 包 括 IP 以 及 网 域 参数 等 等 ， ip route 则 可 以 修改 
路 由 ! 


ping 主要 是 透 过 ICMP 封包 来 进行 网 络 环境 的 检测 工作 ， 并 且 可 以 使 
用 





ping 来 查询 整体 网 域 可 接受 最 大 的 MTU 值 ; 
侦察 每 个 节点 的 联机 状况 ， 可 以 使 用 traceroute 这 个 指令 来 奶 踪 ! 
netstat 除了 可 以 观察 本 机 的 启动 接口 外 ， 还 可 以 观察 Unix socket 的 
传 


统 插 模 接 口 数据 ; 

host 与 nslookup 预 设 都 是 透 过 /etc/resolv.conf 内 设 定 的 DNS 主机 
来 进行 主机 名 与 IP 的 查询 ; 

lftp 可 以 用 来 匿名 登录 远程 的 FTP 主机; 


和 主要 的 功能 是 『 浏 览 ] ， 包 括 本 机 上 HTML 语法 的 档案 ， wget 
则 主 


要 在 用 来 下 载 WWW 的 资料 ; 
搬 取 封包 以 分 析 封 包 的 流 同 ， 可 使 用 tcpdump ， 至 于 图 形 接口 的 


wireshark 
则 可 以 进行 更 为 详细 的 解析 。 
透 过 tcpdump 分 析 三 同 交 握 ， 以 及 分 析 明 码 传 输 的 数据 ， 可 发 现 网 络 


加 密 
的 重要 性 。 
nc 可 用 来 取代 telnet 进行 某 些 服务 埋 口 的 检测 工作 。 
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5.7 本 间 习 题 
暂时 将 你 的 eth0 这 张 网 络 卡 的 卫 设 定 为 192.168.1.100 ， 如 何 进 行 ? 
ifconfig eth0 192.168.1.100 


我 要 增加 一 个 路 由 规则 ， 以 eth0 连接 192.168.100.100/24 这 个 网 域 ， 
应 


该 如 何 下 达 指 令 ? 
route add -net 192.168.100.0 netmask 255.255.255.0 dev eth0 


我 的 网 络 停顿 的 很 厉害 ， 尤 其 是 连接 到 tw.yahoo.com 的 时 候 ， 那 么 
我 应 该 


如 何 检查 那个 环节 出 了 问题 ? 





traceroute tw.yahoo.com 


我 发 现 我 的 Linux 主机 上 面 有 个 联机 很 怪异 ， 想 要 将 他 断 线 ， 应 该 如 


何 进 
作 
以 root 的 身份 进行 『netstat -anp Imore」 查 出 该 联机 的 PID， 然 后 以 
『 kill -9 PID 」 踢 掉 该 联机 。 

你 如 何 知道 green.ev.ncku.edu.tw 这 部 主机 的 IP? 
方法 很 多 ， 可 以 利用 host green.ev.ncku.edu.tw 或 dig 
green.ev.ncku.edu.tw 或 nslookup green.ev.ncku.edu.tw 等 方法 找 出 

请 找 出 你 的 机 器 上 面 最 适当 的 MTU 应 该 是 多 少 ? 
[ping -c 3 -M do -s MTU yourIP 」 找 出 你 的 卫 的 MTU 数值 。 


实 上 ， 你 还 可 以 先 以 ip 设 定 网 络 卡 较 大 的 MTU 后 ， 在 进行 上 述 的 动 


才能 
够 找 出 网 域内 适合 的 MTU。 


如 何在 终端 机 接口 上 面 进行 WWW 浏览 ?又 该 如 何 下载 WWW 上 面 
提供 的 档 


案 ? 





要 浏览 可 以 使 用 links 或 lynx ， 至 于 要 下 载 则 使 用 wget 这 个 软件 。 
在 终端 机 接口 中 ， 如 何 连接 bbs.sayya.org 这 个 BBS ? 

利用 telnet bbs.sayya.org 即 可 连接 上 
请 自行 以 tcpdump 观察 本 机 端的 ssh 联机 时 ， 三 向 交 握 的 内 容 


请 自行 回答 : 为 何 使 用 明码 传输 的 网 络 联机 数据 较为 危险 ? 并 自行 以 
软件 将 





封包 取出 ， 并 与 同学 讨论 封包 的 信息 


net.qiang(Ohotmail.com 


请 自行 至 Internet 下 载 nc(netcat) 的 原始 码 ， 并 且 编译 成 为 具有 


GAPING SECURITY HOLE 的 参数 ， 然后 建立 一 条 联机 使 用  -e 
/bin/bash 尝试 将 


本 地 端的 bash 丢 给 目的 端 执行 (特殊 功能 ， 可 让 client 取得 来 自主 机 的 
bash)。 
5.8 参考 数据 与 延伸 阅读 


注 1: wireshark 必 





2002/07/31: 第 一 次 完成 日 期 ! 

2003/08/19: 重新 编排 版 面 ， 加 入 jmcce 的 安装 以 及 MTU 的 相关 说 明 
2003/08/20: 加 入 课 后 练习 去 

2003/09/19: 加 入 参考 用 解答 咯 ! 

2005/03/24: route 的 指令 参数 写 错 了 ! 已 经 订正 ! 

2006/07/24: 将 旧 的 文章 移动 到 此 处 


2006/07/24: 拿 掉 相关 性 不 高 的 JMCCE 中 文 终端 机 :将 Windows 系统 
的 MTU 检测 修 


改 方法 移 除 。 也 拿 掉 ncftp 的 说 明 


2006/08/02: 修改 了 很 多 部 分 ， 加 入 一 些 封 包 侦 测 的 功能 程序 ， 


tcpdump, nc 等 指令 ! 








2010/08/28: 将 旧 的 ， 基 于 CentOS 4.x 所 撰写 的 文章 放置 于 此 人 处 


2010/09/03: 加 入 links 取消 lynx，ethereal 改 成 wireshark，gaim 改 成 
pidgin 了 ， 


nc 指令 的 用 法 跟前 几 版 有 点 不 同 。 
2011/07/18: 将 基于 CentOS 5.x 的 文章 移动 到 此 处 


2011/07/18: 将 资料 修订 为 CentOS 6.x 的 模样 ! 不 过 tcpdump 的 变化 不 
大 ， 部 分 数 


据 为 CentOS 5.x 的 搬 取 示意 ! 
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最 近 更 新 日 期 : 2011/07/19 


虽然 我 们 在 第 四 章 谈 完了 连 上 Internet 的 方法 ， 也 大 略 介绍 了 五 个 主要 
的 网 络 检查 步骤 。 不 过 ， 网 络 


是 很 复杂 的 东西 ， 鸟 哥 也 是 接触 了 Linux 这 么 多 年 之 后 才 对 网 络 与 通讯 
协议 有 点 认识 而 已 ， 要 说 到 熟 


悉 与 了 解 ， 那 还 有 段 路 要 走 哩 。 总之， 为 了 让 大 家 对 网 络 问题 的 解决 
有 个 方向 可 以 进行 处 理 ， 乌 哥 底下 





列 出 一 些 常 见 的 问题 ,希望 对 大 家 有 点 帮助 ! 








6.1.3 问题 的 处 理 


6.2 处 理 流 程 





6.2.7 步骤 七 : Internet 的 问题 


6.2.8 步骤 八 : 全 的 问题 





6.1 无 法 联机 原因 分 析 


ie [我 的 网 络 不 通 啊 ! 」 还 有 比较 奇怪 
是 『 啊 ! 


怎么 网 络 时 通 时 不 通 上 之 类 的 问题 ， 这 类 的 问题 其 实 主要 可 以 归 类 为 
人 硬件 问题 与 软件 


设 定 问 题 。 便 件 的 问题 比较 抹 烦 ， 因 为 需要 透 过 一 些 专门 的 装置 来 分 析 
硬件 ; 至 于 软 


件 方面 ， 绝 大 部 分 都 是 设 定 错误 或 者 是 观念 错误 而 已 ， 比 较 好 处 理 啦 
(第 四 章 谈 到 的 就 


是 软件 问题 )! OK! 我 们 先 来 看 看 网 络 在 哪里 可 能 会 出 问题 吧 ! 
6.1.1 硬件 问题 : 网 络 线材 、 网 络 设 备 、 网 络 布线 等 


第 二 章 的 网 络 基 础 当中 我 人 上 很 多 的 网 络 基 础 概念 ， ”以 及 一 些 


单 的 硬件 


以 一 个 简单 的 星 形 联机 来 说 ， 我 们 可 以 假设 他 的 架构 如 同 下 
小 : 





2 
简 
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Internet 





图 6.1-1、 局 域 网 络 的 联机 状态 示意 图 


在 上 面 的 图 示 当 中 ，"Linux PC3" 要 连 到 Internet 上 面 去 的 话 ， 需 要 透 过 
网 络 线 、 


交换 器 、 NAT 主机 (Linux 服务 器 或 卫 分 享 器 )、ADSL 调制 解 调 器 ， 
附 挂 电话 线路 、 


ISP 自己 的 机 房 交换 器 ， 以 及 Internet 上 面 的 所 有 媒体 设备 (包括 路 由 
器 、 网 桥 、 其 


他 网 络 线 等 等 )， 那 么 哪些 地 方 可 能 会 出 问题 啊 ? 


1. 网 络 线材 的 问题 : 


可 以 发 现 ， 其 实 网 络 接口 设备 中 ， 使 用 最 多 的 就 是 网 
络 线 啦 ! 


ee (RJ-45 接头 )， 而 并 不 是 所 有 的 设备 都 
村 


动 分 辨 跳 线 与 并 行 线 的 功能 的 ! 所 以 你 必须 要 了 解 到 你 的 设备 
(Hub/Switch/ 


调制 解 调 器 ) 所 文 持 的 网 络 线 ; 羽 外， 如果 你 的 网 络 线 有 经 过 门 缝 处 或 


者 是 容 





凹 折 处 ，。 那 很 有 可 能 由 于 经 常 性 的 目 折 导致 电子 讯号 不 良 ， 所 以 你 需 


要 注意 一 

下 这 些 事情 : 

0 网 络 线 被 截断 ; 

0 网 络 线 过 度 扭曲 变形 造成 讯号 不 民 ; 

o 自制 网 络 接头 (如 RJ-45 跳 线 头 ) 品质 不 良 ; 

0 网 络 接头 与 设备 (如 Hub) 接触 不 民 ; 

2. 网 络 卡 、Hub 及 Ronuter 等 网 络 设备 的 问题 : 

另外 ， 还 有 一 些 网 络 设备 也 会 有 问题 ， 常 见 的 问题 如 下 : 

0 网 络 卡 不 稳定 、 质 量 不 佳 ， 或 者 与 整体 系统 的 兼容 度 不 佳 (网 络 卡 也 
是 会 坏 的 ); 

0 各 网 络 设备 的 接头 不 佳 ， 接 触 不 良 ， 造 成 讯 写 有 隧 减 (经常 的 拔 插 残 有 
可 能 发 生 ); 








0 由 于 网 络 设备 所 在 环境 恶劣 (例如 过 热 ) 导致 的 当 机 问 题 ( 鸟 哥 经 
第 让 遇 到 switch 热 当 的 问题 ); 
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0 各 网 络 设 备 使 用 方法 不 恨 ， 造 成 设备 功能 肥城 (switch 种 币 插 电 / 
扬 电 容易 坏 喔 ); 

3. 设备 配置 的 规则 : 


在 各 个 设备 的 配置 上 是 有 一 定 的 规则 的 ， 而 最 容易 友 生 的 问题 就是 太 长 
的 网 络 线 


会 造成 讯号 的 衰减 ， “导致 网 络 联机 的 时 间 太 长 其 至 无 法 联机 。 我 们 曾 
在 网 络 基 


础 当中 谈 过 以 太 网 络 最 长 的 支持 距离 (10BASE5 最 长 可 达 500m)， 还 有 
加 大 


一 些 
-一 





他 网 络 媒体 配置 的 问题 你 必须 晓得 的 : 

o 使 用 错误 的 网 络 线 ， 最 常 发 生 在 并 行 线 与 跳 线 的 分 别 (现在 比较 少见 
这 个 问题 了)! 

0 架设 的 网 络 线 过 长 ， 导 致 讯号 衰减 太 严 重 。 例 如 以 太 网 络 CAT5e 的 
线 理论 限制 长 度 大 概 是 在 90 公 尺 左右 (虽然 10BASE5 可 达 500m)， 知 
两 个 设备 (Hub/ 主 机 之 间 ) 长 度 大 于 90 公 尺 时 ， 自 然 就 容易 出 现 讯号 发 
生 问 题 了 ! 


其 他 噪声 的 和 干扰， 最 常 发 生 在 网 络 线 或 者 网 络 设备 劳 边 有 太 强 的 磁 
波 ; 





0 局 域 网 络 上 面 ， 节 点 或 者 其 他 的 设备 太 多 ， 过 去 我 们 常 以 所 谓 的 543 
原则 来 说 明 : ( 往 卫 

5 个 网 段 (segment)。 所 谓 segment 就 在 物理 连接 上 最 接近 
的 一 组 计算 机 ， 在 一 个 BNC 网 段 里 面 最 多 只 能 接 30 台 计 算 机 ， 
且 网 线 总 长 不 能 超过 185m。 

4 个 增益 器 (repeater)。 也 就 是 将 信号 放大 的 装置 。 

3 个 计算 机 群体 population)。 这 个 不 好 理解 ， 也 就 是 说 前 
面 所 说 的 5 个 segment 之 中 ， 只 能 有 3 个 可 以 装 计算 机 ， 其 它 
两 个 不 行 。 


上 述 是 一 些 最 冲 见 的 硬件 问题 ， 当 然 啦 ， 有 的 时 候 是 设备 本 号 就 有 问 
题 ， 而 我 们 在 


网 络 基础 里 面谈 到 的 那个 很 重要 的 六 网 络 布线 _」 的 情况 ， 也 是 造成 网 
络 停顿 或 通顺 与 


含 的 重要 原因 响 ! 所 以 ,硬件 问题 的 判断 比较 困难 点 。 ”好 一 底下 我 们 
再 来 聊 一 聊 软件 


设 定 的 相关 问题 。 
6.1.2 软件 问题 : 卫 参数 设 定 、 路 由 设 定 、 服 务 与 防火 墙 设 定 等 


所 谓 的 软件 问题 ， 绝 大 部 分 就 是 IP 参数 设 定 错误 啊 ， 路 由 不 对 啊 ， 还 
有 DNS 的 IP 


设 定 错误 等 等 的 ， 这 些 问 题 都 是 属于 软件 设 定 啦 ! 只 要 将 设 定 改 一 
改 ， 利 用 一 些 侦 测 


软件 查 一 查 ， 就 知道 问题 出 在 哪里 了 ! 基本 的 问题 有 : 
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1. 网 络 卡 的 IPmetmask 设 定 错误 : 


例如 : 同一 个 IP 在 同一 个 网 段 中 出 现 造成 IP 冲突 、 子 网 掩 码 设 定 错 
误 、 网 络 


卡 的 驱动 程序 使 用 错误 、 网 络 卡 的 IRQ、 LO Address 的 设 定 冲 突 等 
等 ; 


2. 路 由 的 问题 (route table): 


最 常见 的 就 是 预 设 路 由 (default gateway) 设 定 错误 了 ! 或 者 是 路 由 接口 
不 符 


所 导致 的 问题 ， 使 得 数据 封包 没有 办 法 顺利 的 送出 去 。 
3. 通讯 协议 不 相符 : 
最 第 发 生 在 不 同 的 操作 系统 之 间 的 通讯 传输 ， 例 如 早期 Windows 98 与 


Windows 


2000 之 间 的 了 网 芳 上 ” 知 要 达成 沟通 ， 则 Windows 98 必须 要 加 装 
NetBEUI 这 


个 通讯 协议 才 行 。 又 例如 两 部 Linux 主机 要 透 过 NFS 通讯 协议 传输 数 
据 时 ， 两 


边 都 得 要 支持 rpcbind 这 个 启动 RPC 协议 的 程序 才 行 ! 这 些 通讯 协议 我 
们 都 


会 在 后 面 的 章节 分 别 介 绍 的 啦 ! 
4. 网 络 负 和 荷 的 问题 (loading): 


Server 或 者 是 Hub 或 者 是 同一 个 网 域 





可 能 浊 成 网 络 的 停顿 其 至 持 点 ! 另外 ， 如 果 区 网 内 有 人 使 用 BT (P2P 软 
) 3 


者 是 有 人 中 毒 导致 蠕虫 充满 整个 区 网 ， 也 会 造成 网 络 的 停顿 问题 ; 
5. 其 他 问题 : 


例如 : 一 些 port 被 防火 墙 挡住 了 ， 造 成 无 法 执行 菜 些 网 络 资源 ， 应 用 程 
序 本 刁 


人 
容 ， 


问题 等 等 。 





6.1.3 问题 的 处 理 


图 示 为 例 ， 


把 握 两 个 原则 : 


先 由 自身 的 环境 侦 测 起 ， 可 以 由 目 喘 PC 上 的 网 络 卡 查 起 ， 到 网 络 
线 、 到 Hub 


ds i 在 这 个 步骤 当中 ， 最 好 用 的 软 
就 是 


ping ， 而 你 最 好 能 有 两 部 以 上 的 主机 来 进行 联机 的 测试 
确定 便 件 没 问题 了 ， 再 来 思考 软件 的 设 定 问题 ! 
实际 上 ， 如 果 网 络 不 通 时 ， 你 可 以 依 序 这 样 处 理 : 


1. 了 解 问题 : 这 个 问题 是 刚刚 发 生 ? 还 是 因为 之 前 我 做 了 什么 动作 而 导 
致 无 法 


联机 ? ”例如 之 前 马 哥 曾经 更 新 过 一 个 核心 ， 结 果 该 核心 并 不 能 驱动 马 
哥 的 新 网 








卡 .… 


。 v0 IP: 先 看 看 自己 的 网 卡 有 无 驱动 ? 能 否 取 得 正确 的 IP 相关 参数 


机 ? 
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O 
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3. 确认 区 网 联机 : 利用 _ping 来 沟通 两 部 主机 (路 由 器 或 PP 分 享 器 )， 确 
定 


网 络 线 与 中 继 的 hub/switch 工作 正常 ; 


4. 确认 对 外 联机 : 看 主机 或 IP 分 享 器 能 否 第 四 章 的 方法 顺 乔 
IP 参 


数 ， 并 以 __ping ”的 方法 确定 对 外 联机 是 可 以 成 功 的 (例如 ”ping 
168.95.1.1); 


5. 确认 DNS 查询 : 利用 nslookup 或 host 或 dig 检查 www.google.com 
看 


看 ; 
6. 确认 Internet 节点 : 可 以 利用 traceroute 检查 各 节点 是 否 没 问题 ? 


确认 对 方 服 务 器 正常 服务 ， 是 否 对 方 服务 占 忙 线 中 ? 或 他 的 机 器 挂 
? 








8. 确认 我 方 服务 器 : 如 果 是 别人 连 不 上 我 这 部 主机 ， 那 检查 主机 某 些 服 
务 正 确 


oo 可 利用 netstat 检查 。 或 是 否 某 些 安全 机 制 的 软件 没有 设 定 好 ， 
列 如 











SELinux 这 项 机 制 |; 


ee 是 否 由 于 你 的 
沁 策 


防火 增 饼 记忆 用 可 联机 的 井口 所 致 ?” 这 个 可 以 透 过 tcpdump 来 处 理 ! 


透 过 这 些 处 理 动作 后 ， 一 般 来 说 ， 应 该 都 可 以 解决 你 无 法 上 网 的 问题 
了 ! 当然 啦 ， 


如 果 是 硬件 的 问题 ， 那 么 乌 哥 也 无 法 帮 你 ， 你 可 能 最 需要 的 是 …『 送 
修 吧 孩子 ! ] 


6.2 处 理 流 程 


既然 知道 上 面 已 经 谈 到 的 几 个 小 重点 了 ， 接 下 来 当然 是 一 个 一 个 的 给 他 
处 理 掉 啊 ! 


底下 我 们 就 得 要 一 步 一 脚印 的 开始 检查 的 流程 啊 ! 
6.2.1 步骤 一 : 网 络 卡 工作 确认 


其 实 ， 网 络 一 出 问题 的 时 候 ， 你 应 该 从 目 己 可 以 检查 的 地 方 检查 起 ， 因 
此 ， 最 重 


要 的 地 方 就 是 检查 你 的 网 络 卡 是 否 有 工作 的 问题 啦 ! 检查 网 络 卡 是 否 
常 工 作 的 方法 如 


下 : 
1. 确定 网 络 卡 已 经 驱动 成 功 : 


如 果 网 络 卡 没有 驱动 成 功 ， 其 他 的 ， 免 谈 ! 所 以 你 当然 需要 驱动 你 的 网 
络 卡 才 行 ! 








确认 网 络 卡 是 否 被 驱动 ， 可 以 利用 lspci 以 及 dmesg 这 两 个 吃 吹 来 查询 
相关 的 





再 次 强调 ， 所 





不 到 网 卡 


` 错 的 想 


法 ! 
2. 确定 可 以 手动 直接 建立 IP 参数 : 


0 
以 利用 


ifconfig 或 ip 来 直接 给 予 该 网 络 卡 一 个 网 络 地 址 试看 看 ! 看 能 否 给 予 IP 
设 











定 呢 ? 例如 : 
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名 

[root@www ~]# ifconfig eth0 192.168.1.100 


来 直接 建立 该 网 络 卡 的 IP ， 然 后 直接 输入 ifconfig 看 能 否 查 阅 到 刚刚 设 
定好 


的 参数 即 可 。 如 果 可 以 建立 起 该 了 了 ， 就 以 ping 来 检测 看 看 : 
[root@www ~]# ping 192.168.1.100 


如 果 有 啊 应 的 话 ， 那 表示 这 个 网 卡 的 设 定 应 该 是 没有 问题 了 ! 再 来 则 是 
开始 检测 


一 下 局 域 网 络 内 的 各 个 连接 硬件 啦 ! 
6.2.2 步骤 二 : 局 域 网 络 内 各 项 连接 设备 检测 


在 确认 完了 最 重要 的 网 络 卡 设 定之 后 ， 并 且 确 定 网 络 卡 是 正常 的 之 后 ， 
再 接着 下 来 




















则 是 局 域 网 络 内 的 网 络 连接 情况 了 ! 假设 你 是 按照 图 6.1-1 所 设 定 的 星 
形 联机 局 域 网 


络 染 构 ， 那 么 你 必须 要 知道 整个 『 网 域 ] 的 概念 ! 
1. 关于 网 域 的 概念 : 
能 否 成 功 的 架设 出 区 网 ， 与 网 域 的 概念 有 关 ! 所 以 ， 你 要 知道 所 请 的 


192.168.1.0/24 这 种 网 域 的 表达 方式 所 代表 的 意义 ， 有 旦 子 网 撼 码 
(Netmask) 


的 意义 也 得 了 解 。 如 果 忘 记 了 ， 请 回去 第 二 童 网 络 基础 再 翻 一 翻 。 





2. 关于 Gateway 与 DNS 的 设 定 : 


Gateway 与 DNS 最 容易 被 搞 混 一 这 两 个 并 非 是 填写 你 的 Linux 主机 的 
IP 咀 ! 


应 该 是 要 填写 IP 分 享 器 (或 NAT 主机 ) 的 IP 在 Gateway 中 ， 填 写 
168.95.1.1 在 DNS 的 IP 设 定 当 中 ! 不 能 够 搞 错 啊 ! 
3. 关于 Windows 端的 工作 组 与 计算 机 名 称 : 


假如 你 还 需要 资源 共享 ， 那 么 你 就 必须 在 windows 系统 中 开放 档案 分 
享 ， 并 且 

建议 所 有 的 计算 机 将 『 工 作 组 」 设 定 相 同 ， 但 『 计 算 机 名 称 上 」 则 不 能 相 
同 ! 不 过 ， 

这 个 只 与 网 芳 及 SAMBA 服务 器 有 关 。 


al IP 都 设 定 正确 了 了， 那么 接 下 来 你 就 可 以 使 
用 ping 3》 


测试 两 部 区 网 内 主机 的 联机 ， ”这 个 联机 的 动作 可 以 让 你 测试 两 部 主机 
间 的 各 项 设备 ， 


解 一 下 : 


1. IP 参数 是 否 设 定 正确 : 


再 次 强调 ， 先 决定 IP/netmask 是 对 的 ! 乌 哥 在 上 课 的 时 候 第 第 发 现 同学 
无 法 连 


es 一 经 使 用 ifconfig 才 发 现 他 们 与 我 的 IP 不 在 同一 个 网 
段 内 ， 


就 是 会 有 这 样 的 情况 发 生 啊 ! 唉 一 








net.qiang(Ohotmail.com 


2. 联机 的 线材 问题 : 

包括 我 们 前 面 提 到 的 网 络 线 本 喘 扩 损 、 过 度 缠绕 造成 的 讯号 衰减 问题 等 
3 

外 ， 有 些 比较 旧 的 Hub/Switch 或 者 是 ADSL 调制解调器， 由 于 没有 
Auto 


MDLMDIX 的 功能 ， 所 以 无 法 自动 的 分 辨 跳 线 与 否 ， 那么 当 你 用 错 网 
络 线 的 时 候 ， 

也 就 无 法 接 通 啦 ! 为 外 ， 早 期 我 们 常常 会 说 ， ”最 简单 判断 每 部 主机 是 
人 否 顺 利 连 


接 到 Hub/Switch 可 以 透 过 连接 到 Switch 上 的 灯 号 来 判断 ， 不 过 ， 由 于 
有 时 





候 网 络 线 本 身 讯号 不 良 ， 虽 然 灯 号 还 是 会 亮 ， 不 过 就 是 无 法 连接 到 
Switch 的 情 


况 ( 乌 哥 上 自己 就 曾 发 生 过 啊 )， 此 时 ， 跟 朋友 借 一 条 OK 的 网 络 线 来 测试 
看 看 吧 ! 


3. 网 卡 或 Hub/Switch 本 身 出 问题 : 


有 一 次 乌 哥 无 法 在 外 部 连接 到 乌 哥 的 主机 ， 怀 疑 是 挂 点 了 ， 结 果 冲 到 主 
机 所 在 办 


公 室 察看 ， 喷 ! 主机 是 好 好 的 嘛 ! 那 怎 么 会 无 法 联机 呢 ? 原因 是 … 室 入 
环境 通 


风 不 恨 ， 加 上 Switch 所 在 处 温度 过 高 ， 加 上 那 部 旧 的 switch 『 刚 好 ] 
风 刷 


。 了 ， 哈 ! 就 这 样 『 switch 当 机 」 在 重新 启动 switch ( 拔 掉 再 插 上 电源 
线 ) 


后 就 正常 了 。 所 以 哆 ， 很 多 情况 部 是 会 发 生 的 ， “而 局 域 网 络 内 的 环境 
也 很 容易 


影响 到 联机 质量 啊 ! 


确定 上 自己 主机 的 IP 与 网 卡 没有 问题 ， 加 上 内 部 区 网 透 过 ping 也 测试 过 
没有 问题 ， 


接 下 来 就 是 要 『 取 得 可 以 对 外 联机 的 卫 参数 」 啦 ! 这 个 重要 
6.2.3 步骤 三 : 取得 正确 的 IP 参数 


什么 叫 了 取得 正确 的 IP 参数 1 啊 ? 还 记得 我 们 谈 过 如 果 要 顺利 的 连接 
上 Internet 


的 话 ， 必须 要 可 以 跟 public IP 进行 沟通 才 行 ， 而 与 public IP 取得 沟通 
的 方法 ， 


在 台湾 比较 常见 的 有 ADSL, Cable modem, 学 术 网 络 , 电话 拨 接 等 等 。 在 

















CentOS 当中 ， 
我 们 可 以 透 过 修改 /etc/sysconfig/network-scripts/ifcfg-eth0， 或 者 是 利用 
rp-pppoe 来 进行 拨 接 ， 无论 如 何 ， 你 就 是 得 要 连接 到 某 个 ISP 去 就 是 了 








ifconfig 看 看 有 没有 捉 到 正确 的 IP 啊 ? 在 台湾 如 果 使 用 ADSL 联机 的 
话 ， 你 应 该 可 


以 顺利 的 取得 一 组 正确 的 Public IP 参数 的 ! 

Tips: 

曾 有 国外 的 华人 朋友 来 信 说 到 ， 他 们 使 用 ADSL 拨 接 之 后 竞 然 取得 
一 组 Private IP ， 害 他 们 没有 办 法 架 站 ! 他 们 想 请 问 这 样 的 情况 
是 否 合理 。 如 果 你 熟悉 路 由 相关 的 概念 之 后 ， 当然 会 知道 : 『 这 当 
然 合 理 ! 」， 因 为 你 取得 的 IP 只 是 为 了 要 连接 到 ISP 去 而 已 ， 而 
ISP 与 你 的 主机 当然 可 以 透 过 Private IP 来 联机 啊 ! 如 果 是 这 样 
的 话 ， 那 么 你 就 肯定 无 法 架 站 了 ! 人 人 


另外 ， 最 常 发 现 无 法 顺利 取得 IP 的 错误 就 是 『BOOTPROTO」 这 个 设 
定 值 设 定 错 了 ! 


为 static 与 dhcp 协议 所 产生 的 IP 要 求 是 不 一 样 的 啊 ! 还 记得 吧 ! 要 特 
别 留 在 
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ifcfg-eth0 里 面 的 设 定 参 数 喔 ! 另外 ， 如 果 你 是 使 用 ADSL 拨 接 的 ， 但 
是 老 是 无 法 拨 


接 成 功 ， 那 么 建议 你 可 以 这 样 试看 看 : 
将 ADSL 的 调制 解 调 器 整个 关机 ， 将 Switch/Hub 也 关 掉 电源 ; 
静 待 十 分 钟 ， 等 这 些 设 备 比 较 『 凉 快 上 一 点 后 ， 再 重新 插 上 电源 ; 
将 Linux 连接 到 ADSL 的 那 块 网 卡 (假设 为 eth0) 在 ifcfg-eth0 内 ， 


[ONBOOTJ 设 定 为 no， 重新 启动 网 络 (/etc/init.d/network restart)， 然 


后 
再 执行 adsl-start 
如 条 还 是 无 法 拨 接 成 切 ， 并 且 你 已 经 确认 内 部 网 域 没 有 问题 ， 那 请 中 


化 电信 
的 工程 人 员 来 帮忙 你 处 理 吧 ! 


因为 很 多 时 候 都 是 由 于 网 络 媒 体 过 热 ， 也 有 可 能 主机 内 部 的 一 些 网 络 参 
数 有 点 问题 ， 


所 以 ,干脆 就 不 要 启动 网 卡 ， 让 adsl-start 自动 去 启动 网 卡 即 可 ! 如 果 
顺利 取得 IP 


后 ， 却 还 是 无 法 顺利 连 到 Internet 上 面 时 ， 你 觉得 还 有 哪些 地 方 需要 处 
理 的 呢 ? 














Tips: 


为 了 避免 switch 以 及 ADSL 调制 解 调 喜 热 当 ， 马 哥 以 及 一 些 重度 
网 络 用 户 的 朋友 ， 就 买 了 旧 上 型 小 电扇 ， 配 合 定时 器 (timer) 来 定 
时 的 向 这 两 个 设备 吹风 一 为 啥 需要 定时 器 ? 因为 担心 电 风 扇 一 直 开 
着 会 烧 掉 .… 

6.2.4 步骤 四 : 确认 路 由 表 的 规则 


如 果 你 已 经 顺利 取得 正确 的 IP 参数 的 话 ， 那 么 接 下 来 就 是 测试 一 下 十 
人 否 可 以 连 上 


Internet 啊 ! 鸟 哥 建议 你 可 以 尝试 使 用 ping 来 连连 看 Hinet 的 DNS 主 
机 ， 也 就 是 


168.95.1.1 那 部 机 器 啦 ! 
[root@www ~]# ping -c 3 168.95.1.1 


如 果 有 啊 应 ， 那 就 表示 你 的 网 络 『[ 基 本 上 已经 没有 问题 ， 可 以 连 到 
Internet 了 ! |， 


那 如 果 没 有 响应 呢 ? 明明 取得 了 正确 的 卫 却 无 法 连接 到 外 部 的 主机 ， 
上 痛 定 有 鬼 ! 呵呵 ! 


没 错 ! 还 记得 我 们 在 网 域内 资料 的 传输 可 以 直接 透 过 MAC 来 传送 ， 
但 如 果 不 在 区 网 


内 的 数据 ， 则 需要 透 过 路 由 ， 尤 其 是 那个 预 设 路 由 (default route) 来 帮 
忙 转 递 封包 


吧 ! 所 以 说 ， 如 果 你 的 public IP 无 法 连接 到 外 部 (例如 168.95.1.1)， 可 
能 的 问 


题 就 出 在 路 由 与 防火 墙 上 面 了 。 假 设 你 没有 局 动 防火 增 ， 那 问题 束 缩 小 
到 剩 下 路 由 哆 一 


那 路 由 的 问题 如 何 检查 ? 就 用 route 来 检查 啊 ! 











例题 : 
假设 有 个 使 用 ADSL 拨 接 的 Linux 主机 ， 他 的 路 由 表 如 下 ， 你 觉得 出 了 
什么 问题 ? 
Destination Gateway Genmask Flags Metric Ref Use Iface 
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59.104.200.1 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0 
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 
169.254.0.0 0.0.0.0 255.255.0.0U 0 0 0 eth0 
127.0.0.0 0.0.0.0 255.0.0.0U0001o 
0.0.0.0 192.168.1.2 0.0.0.0 UG 0 0 0 eth0 
答 : 
仔细 看 到 上 面 的 路 由 输出 ， 第 一 条 是 ppp0 产生 的 public IP 接口 ， 第 
二 条 是 eth0 的 内 部 网 域 接口 ， 再 看 到 最 后 一 条 的 0.0.0.0/0.0.0.0 这 个 预 
设 路 由 ， 竟然 是 内 部 网 域 的 eth0 为 gateway ? 不 合理 ， 最 大 的 问题 应 该 
是 
出 在 ifcfg-eth0 里 面 不 小 心 设 定 了 『GATEWAY=192.168.1.2」 所 致 ， 解 
决 的 
方法 为 : 
1. 取消 ifcfg-eth0 内 GATEWAY=192.168.1.2 那 一 行 ，( 该 行 亦 可 能 


出 现在 /etc/sysconfig/network 内 ) 


2. 重新 启动 网 络 /etc/init.d/network restart 
3. 重新 进行 拨 接 :，adsl-stop; adsl-start 


另外 一 个 可 能 发 生 的 情况 ， 就 是 : 『 瑟 记 设 定 预 设 路 由 」 啦 ! 例如 使 用 
ifconfig 手动 


重新 设 定 过 网 络 卡 的 IP 之 后 ， 其 实 路 由 规则 是 会 被 更 新 的 ， 所 以 预 设 
路 由 可 能 就 会 不 


见 了 ! 那个 时 候 你 就 得 要 利用 route add 来 增加 预 设 路 由 中 ! 
6.2.5 步骤 五 : 主机 名 与 IP 查询 的 DNS 错误 


如 果 你 发 现 可 以 ping 到 168.95.1.1 这 个 Internet 上 面 的 主机 ， 却 无 法 使 
用 浏 


览 器 在 网 址 列 浏览 http:/www.google.com 的 话 ， 那 肯定 99% 以 上 问题 
是 来 目 于 DNS 


解析 的 困扰 ! 解决 的 方法 束 是 直接 到 /etc/resolv.conf 去 看 看 设 定 值 对 不 
对 啊 ! 一 般 


常见 的 内 容 是 这 样 的 : 








[root@www ~]# vim /etc/resolv.conf 
nameserver 168.95.1.1 
nameserver 139.175.10.20 


最 常见 的 错误 是 『 那 个 nameserver 的 拼 字 写 错 了 ! 」 真 是 最 和 常见 的 问题 
一 另外 ， 如 果 

client 端 是 Windows 系统 呢 ? 和 营 常 初学 者 会 搞 错 的 地 方 就 是 在 windows 
的 设 定 了 ! 

要 注意 : Windows 端的 DNS 设 定 与 主机 端 /etc/resolv.conf 的 内 容 相 同 
即 可 ! 很 多 








初学 者 都 以 为 TCP/IP 内 的 DNS 主机 是 填 上 自己 的 Linux 主机 ， 这 是 不 
对 的 (除非 你 


目 己 的 Linux 上 面 有 DNS 服务 ) ! 你 只 要 填 上 你 的 ISP 给 你 的 DNS 主 
机 IP 位 置 就 


可 以 了 
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避 

必 


另外 ， 每 一 部 主机 都 会 有 主机 名 (hostname) ”， 预 设 的 主机 名 会 是 
localhost ， 


这 个 主机 名 会 有 一 个 127.0.0.1 的 卫 对 应 在 /etc/hosts 当中 。 如 果 你 曾经 
修改 过 


你 的 主机 名 ， 该 主机 名 却 无 法 有 一 个 正确 卫 的 对 应 ， 那么 你 的 主机 在 
开机 时 ， 可 能 


会 有 好 几 十 分 钟 的 延迟 。 所 以 哆 ， 那 个 /etc/hosts 与 你 的 主机 名 对 应 ， 
对 于 内 部 私 


有 网 域 来 说 ， 是 相当 重要 的 设 定 项 目 呢 ! 
6.2.6 步骤 六 : Linux 的 NAT 服务 器 或 IP 分 享 器 出 问题 


NAT 服务 器 最 简单 的 功能 就 是 IP 分 享 器 啦 ! NAT 主机 一 定 是 部 路 由 
器 ， 所 以 你 必 


须要 在 Linux 上面 观察 好 正确 的 路 由 信息 。 和 否则 肯定 有 问题 。 另 外 ， 
NAT 主机 上 面 的 


防火 增设 定 是 否 合 理 ? IP 分 部 器 上 面 是 否 有 设 定 抵挡 的 机 制 等 等 ， 都 





会 影响 到 对 外 联 


机 是 否 能 够 成 功 的 问题 点 。 关于 NAT 与 防火 墙 我 们 会 在 后 续 的 章节 继 
续 介 绍 的 啦 ! 


6.2.7 步骤 七 : Internet 的 问题 


Iternet 也 会 出 问题 喔 ! 当然 啦 一 没有 任何 东西 是 不 会 出 问题 的 ! 举例 
来 说 ， 好 


儿 年 前 台湾 西 尾 因 为 施工 的 关系 ， ”导致 南 北 网 络 骨 干 绕 线 被 挖 断 ， 结 
果 导 致 整个 


Internet 流量 的 大 塞车 ! 这 就 是 Internet 的 问题 一 还 有 ， 数 年 前 _Study 
Area 网 站 


放置 的 地 点 由 于 路 由 器 设 定 出 了 点 差错 ， 结果 导致 连接 速度 的 缓慢 。 
这 都 不 是 主机 本 


号 出 问题 ， 而 是 Internet 上 面 某 个 节点 出 了 状况 。 想 要 确认 是 否 问题 来 
自 Internet 


的 话 ， 就 使 用 traceroute 吧 ! 查 察看 问题 是 来 自 那个 地 方 再 说 ! 
6.2.8 步骤 八 ， 服务 器 的 问题 


如 果 上 述 的 处 理 都 OK ， 却 无 法 登入 有 东部 主机 时 ， 我 想 ， 最 大 的 问题 就 
是 出 现在 主 


机 的 设 定 啦 ! 这 包括 有 : 
服务 器 并 没有 开放 该 项 服务 :例如 主机 关闭 了 telnet ， 那 你 使 用 


telnet 

去 联机 ， 是 无 法 连接 上 的 啦 ! 

; I 例如 你 将 某 个 目录 设 定 为 drwx------ ， 该 目录 
用 

















者 为 root ， 你 却 将 该 目录 开放 给 WWW 来 浏览 ， 由 于 WWW 无 法 进入 
该 目录 ， 


的 给 客户 端 浏览 啊 ! ”这 是 最 典型 的 权限 设 定 错误 的 
情况 啊 ! 

We 0 
及 心 


机 制 ， 结 果 你 启动 的 是 系统 原先 不 支持 的 类 型 那么 SELinux 反而 可 


能 会 抵挡 


该 服务 的 提供 ! 而 其 他 例如 /etc/hosts.deny, PAM 模块 等 等 ， 都 可 能 造 
成 使 





J 问题 ! 这 就 不 是 网 络 问题 ， 而 是 主机 造成 联机 无 法 成 
功 ! 


net.qiang(Ohotmail.com 


钢 卡 是 否 速 作 | | 霹 滩 虹 动 程式 察看 权限 
lspci, dmesg 或 瞻 蜂 新 网 卡 


SELinux 
沪 火 靖 


IP 爸 数 正 确 否 .| vim ifefe-eth0 察看 各 服务 服务 证 定 值 
ifconfig network restart netstat -tulp 各 相关 登录 档 


巧 向 株 路 岗 籽 察看 塔 吕 FRR 
备 是 否 正常“ 上 二 e| 察看 线路 状态 人 
ping 察看 装置 










) hos tname 
dig, host 
route -n ping hostname 


i eto/,. /network 
vim ifcfe-eth0 区 
Jetcjresolv.conl jetcyhosts 
network restart 
reboot 






0 


防火 墙 问 题 ， 防 火 墙 设 定 错 误 也 是 一 个 很 常见 的 问题 ， 你 可 以 使 用 
tcpdump 


来 退 踪 封包 的 流 同 ， 以 顺利 的 了 解 防火 墙 古 否 设 定 错误 。 


基本 上 ， 一 个 网 络 环 场 的 检测 工作 可 不 是 三 言 两 语 就 讲 的 完 的 一 而 且 常 
常 罕 涉 到 很 

多 经 验 的 问题 一 “请 你 背负 到 一 些 讲座 的 场合 去 听 听 看 大 家 的 经 验 ， 云 
google 看 看 人 


家 的 解决 方法 ， 都 有 助 于 让 你 更 轻易 的 解决 网 络 问题 的 喔 ! 人 人! 乌 哥 
也 将 上 述 的 动 


作 规划 成 一 个 流程 图 ， 参 考 看 看 : 
图 6.2-1、 网 络 问题 解决 流程 图 
6.3 本 章 习 题 
以 图 6.1-1 的 星 形 联机 为 例 ， 你 的 Linux PC 3 可 以 ping 到 Windows 


PC1 ， 但 是 反 过 来 ，Windows PC1 无 法 ping 到 Linux PC3， 你 觉得 原因 
可 能 发 


生 在 哪里 ? 
由 于 两 边 已 经 可 以 用 ping 进行 联机 ， 所 以 硬件 应 该 是 没有 问题 了 。 而 


Linux --> Windows 没 问 题 ， Windows --> Linux 有 问题 ， 可 能 是 由 于 
Linux 主 


a 防火 墙 所 致 。 可 以 使 用 iptables -L -n 去 查阅 一 下 防火 墙 的 设 定 
纲 则 。 


详细 的 防火 墙 请 参考 后 续 的 划 市 。 
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6.4 参考 数据 与 延伸 阅读 

注 1: 网 中 人 的 网 络 染 构 简介 : 
http://www.study-area.org/network/network archi.htm 
2002/07/31: 第 一 次 完成 日 期 ! 
2003/08/19: 重新 修订 一 些 数据 ， 与 前 面 的 章节 比较 好 配合 ! 
2006/08/04: 将 旧 的 文章 移动 到 此 处 





2010/09/03: 将 旧 的 基于 CentOS 4.x 所 撰写 的 版 本 移动 到 此 人 处 
2010/09/06: 花 了 一 些 时 间 ， 加 上 一 张 流 程 图 分 析 ! 参考 看 看 吧 ! 
2011/07/19: 将 版 本 改 为 CentOS 6.x， 原 本 的 CentOS 5.x 放 于 此 处 
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第 二 部 分 : 主机 的 简易 资 安防 护 措施 


有 很 多 团体 做 过 许多 操作 系统 安全 性 侦 测 的 研究 ， 他 们 发 现 一 部 没有 经 
过 更 新 与 保 


护 的 Linux/Windows 主机 (不 论 是 一 般 个 人 计算 机 还 是 服务 器 
)， 只 要 一 接 上 


Internet 几乎 可 以 在 数 小 时 以 内 束 被 入 侵 或 被 当成 跳板 ! 您 
啥 世界 啊 一 所 


以 说 ， 要 好 好 的 保护 好 您 自己 的 服务 器 主机 才 行 喔 ! 那 应 该 要 如 何 保护 
你 的 服务 器 主机 


呢 ? 基本 上 ， 你 最 要 知道 的 是 你 的 服务 器 开 了 多 少 网 络 服 务 ， 而 这 些 
服务 会 局 动 什 么 


坦 口 ? ”根据 这 层 关 系 来 关闭 一 些 不 必要 的 网 络 服 务 。 再 者 ， 利 用 在 线 
更 新 系统 让 你 的 


Linux 随时 保持 在 最 新 的 软件 的 状态 ， 这 个 小 动作 可 以 预防 绝 大 部 分 的 
入 侵 攻 击 ， 可 


以 说 是 最 重要 的 一 步 了 ! 最 后 才 是 架设 基础 防火 增 。 


因为 Linux 的 功能 太 强 了 ， 如 果 你 不 好 好 的 保护 好 你 的 主机 ， 要 是 被 入 
侵 并 且 被 


当成 跳板 ， 这 可 能 会 让 您 吃 上 官司 的 ! ”不 要 小 看 这 层 动作 喔 ! 虽然 被 


瞧 瞧 ， 这 是 














入 侵 后 只 要 将 旧 


系统 移 除 并 且 重 治 后 ， 你 的 服务 右 主 机 就 能 够 [短暂 」 的 恢复 正 营 ， 
不 过 如 果 您 的 一 


些 操作 习惯 不 改 的 话 ， 呵 呵 ， 并 不 是 重 灌 就 能 够 让 你 的 服务 器 主机 活 的 
好 好 的 喔 ! 所 


以 哆 ， 我 们 在 架 站 之 前 ， 基 本 的 网 络 防 备 措 施 还 是 得 来 了 解 一 下 ， 人 免得 
经 常 要 重 灌 、 重 


灌 、 重 灌 .... 
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古 不 怎么 安全 的 。 ”因此 ， 在 开始 服务 亏 设 定之 前 ， 我 们 必须 要 让 你 的 
系统 强壮 些 ! 以 避免 被 恶意 的 


cracker 所 攻击 啊 ! 在 这 一 章 当 中 ， 我 们 会 介绍 封包 的 流 癌 ， 然 后 根据 
该 流向 来 制订 系统 强化 的 流程 ! 


ee 
吃 ! 








7.1.2 常见 的 攻击 手法 与 相关 保护 ， 猜 密 码 . 漏洞, 社交 工程 , 程序 误 用 ， 


rootkit, DDoS 











sealert 
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伺服 如 设 定 值 
http, ftp, samba... 


防火 异 
iptables, tcp_wrappers 


权限 的 和 部 设 定 
SELinux 





Internet 





档案 系统 的 权限 


ER 


7.1 网 络 封包 联机 进入 主机 的 流程 


在 这 一 章 当 中 ， 我 们 要 讨论 的 是 ， 当 来 自 一 个 网 络 上 的 联机 要 求 想 进入 
我 们 的 主机 








时 ， 这 个 网 络 封包 在 进入 主机 实际 取得 数据 的 整个 流程 是 如 何 ? 了 解 
了 整个 流程 之 后 ， 


你 才 会 及 现 : 原来 系统 操作 的 基本 概念 是 如 此 的 重要 ! ”而 你 也 才 会 了 
解 要 如 何 保护 你 


的 主机 安全 响 ! 闲话 少 说 ， 咱 们 赶紧 来 瞧 一 瞧 先 。 
7.1.1 封包 进入 主机 的 流程 


和 第 一 章 
解 为 啥 架设 


服务 右 需 要 了 解 操作 系统 的 基本 观念 。 在 这 一 重 当 中 ， 我 们 要 将 该 流程 
更 细致 化 说 明 ， 


因为 ， 透 过 这 个 流程 分 析 ， 你 会 知道 为 啥 我 们 的 主机 需要 进行 过 一 些 防 
护 之 后 ， 系 统 才 


能 够 比较 强壮 。 此 外 ， 透 过 第 
是 双 同 的 ， 服 务 
见 


器 与 客户 端 都 得 要 有 IP:port “才能 够 让 彼此 的 软件 互相 沟通 。 那 么 现 
在 ， 假 设 你 的 主 


机 是 WWW ， 服务 器 ， 透 过 底下 的 图 标 ， 网 络 封包 如 何 进 入 你 的 主机 
呢 ? 


图 7.1-1、 网 络 封包 进入 主机 的 流程 
1. 经 过 防火 墙 的 分 析 : 


Linux 系统 有 内 建 的 防火 墙 机 制 ， 因 此 你 的 联机 能 不 能 成 功 ， 得 要 先 看 
防火 墙 的 


J 预 设 的 Linux 防火 墙 就 有 两 个 机 制 ， 这 两 个 机 制 都 是 独立 存 
企 的 ， 


因此 我 们 预 设 束 有 两 层 防 火 墙 嗓 。 第 一 层 是 封包 过 滤 陈 的 netfilter 防火 





当时 举 的 例子 是 希望 你 可 以 理 





， 你 也 了 解 了 网 络 


增 ， 

男 一 个 则 是 透 过 软件 控 管 的 TCP Wrappers 防火 墙 。 
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o 封包 过 滤 防 火 墙 : IP Filtering 或 Net Filter 

要 进入 Linux 本 机 的 封包 都 会 先 通 过 Linux 核心 的 预 设防 火 墙 ， 就 是 称 
为 netfilter 的 唉 吃 ， 人 简单 的 说 ， 束 是 iptables 这 个 软件 所 提供 的 防 


火 墙 功能 。 为 何 称 为 封包 过 滤 呢 ?因为 他 主要 是 分 析 TCP/IP 的 封包 表 


AN 
» 


来 进行 过 滤 的 机 制 ， 主 要 分 析 的 是 OSI 的 第 二 、 三 、 四 层 ， 主 要 控制 的 


就 是 MAC, IP, ICMP, TCP 与 UDP 的 塌 口 与 状态 (SYN, ACK...) 等 。 详 





o 第 二 层 防 火 墙 : TCP Wrappers 


通过 netfilter 之 后 ， 网 络 封 包 会 开始 接受 Super daemons 及 


TCP_Wrappers 的 检验 ， 那 个 是 什么 昵 ? 说 穿 了 就 是 /etc/hosts.allow 与 
/etc/hosts.deny 的 配置 文件 功能 嗓 。 这 个 功能 也 是 针对 TCP 的 


Header 进行 再 次 的 分 析 ， 同 样 你 可 以 设 定 一 些 机 制 来 抵制 茶 些 了 或 
Port ， 好 证 来 源 端 的 封包 被 丢弃 或 通过 检验 ; 
透 过 防火 播 的 管控 ， 我 们 可 以 将 大 部 分 采 目 因特网 的 垃 瓜 联机 丢弃 ， 只 


站 
自己 开放 的 服务 的 联机 进入 本 机 而 已 ， 可 以 达到 最 基础 的 安全 防护 。 
2. 服务 (daemon) 的 基本 功能 : 


预 设 的 防火 墙 是 Linux 的 内 建功 能 ， 但 防火 墙 主要 管理 的 是 MAC， 了 P， 
Port 等 


封包 表 头 方面 的 信息 ， 如 条 想 要 控 管 菜 些 目录 可 以 进入 ，” 某 些 目录 则 
无 法 使 用 


J 那 束 得 要 透 过 权限 以 及 服务 器 软件 提供 的 相关 功能 了 。 举 例 来 
访 ? 尔 可 


以 在 httpd.conf 这 个 配置 文件 之 内 规范 某 些 IP 来 源 不 能 使 用 httpd 这 个 
服 








那么 即使 该 IP 通过 前 面 两 层 的 过 滤 ， 他 依旧 无 
法 取得 


主机 的 资源 喔 ! 但 要 注意 的 是 ， 如 果 httpd 这 文 程序 本 来 就 有 问题 的 
话 ， 那 么 


~ 端 将 可 直接 利用 httpd 软件 的 漏洞 来 入 侵 主 机 ， 而 不 需要 取得 主机 














root 的 密码 ! 因此 ， 要 小 心 这 些 启动 在 因特网 上 面 的 软件 喔 ! 
3. SELinux 对 网 络 服务 的 细部 权限 控制 ; 


为 了 避免 前 面 一 个 步骤 的 权限 误 用 ， 或 者 是 程序 有 问题 所 造成 的 资 安 状 
况 ， 因 此 


Security Enhanced Linux (安全 强化 Linux) 就 来 发 挥 它 的 功能 啦 ! 简单 的 
说 ， 





SELinux 可 以 针对 网 络 服务 的 权限 来 设 定 一 些 规 则 (policy) ， 让 程序 能 
够 进行 


4 限 ， ”因此 即使 使 用 者 的 档案 权限 设 定 错误 ， 以 及 程序 有 问题 
时 ， 该 程 


We 的 动作 还 是 被 限制 的 ， 即 使 该 程序 使 用 的 是 root 的 权限 也 一 





例 来 说 ， 前 一 个 步骤 的 httpd 真 的 被 cracker 攻击 而 让 对 方 取得 root 的 使 
用 


权 ， 由 于 httpd 已 经 被 SELinux 控制 在 /varwww/html 里 面 ， 且 能 够 进 
行 的 

人 因此 cracker 就 无 法 使 用 该 程序 来 进行 系统 的 进 
一 步 

坏 吕 。 现 在 这 个 SELinux 一 定 要 开启 喔 ! 

4. 使 用 主机 的 文件 系统 资源 : 


想 一 想 ， 你 使 用 浏览 器 连接 到 WWW 主机 最 主要 的 目的 是 什么 ?当然 
就 是 读 取 主 


机 的 WWW 数据 啦 ! 那 WWW 资料 是 喻 ? 就 是 档案 啊 ! 和 人! 所 以 ， 
最 终 网 络 封包 
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0 


其 实 是 要 问 主 机 要 求 文件 系统 的 数据 啦 。 我 们 这 里 假设 你 要 使 用 httpd 
这 文 程 


序 来 取得 系统 的 档案 数据 ， 但 httpd 默认 是 由 一 个 系统 账号 名 称 为 httpd 


口 





所 以 : 你 的 网 页 数据 的 权限 当然 就 是 要 让 httpd 这 文 程 序 可 以 读 
取 才 行 


啊 ! 如 果 你 前 面 三 天 的 设 定 都 OK ， 最 终 权限 设 定 错误 ， 使 用 者 依旧 无 
法 浏览 你 


的 网 页 数据 的 。 


在 这 些 步骤 之 外 ， 我 们 的 Linux 以 及 相关 的 软件 都 可 能 还 会 文 持 登录 文 
件 记 录 的 








功能 ， 为 了 记录 历史 历程 ， ”以 方便 管理 者 在 未 来 的 错误 查询 与 入 侵 检 
测 ， 民 好 的 分 析 


登录 档 的 习惯 是 一 定 要 建立 的 ， 尤 其 /Var/log/messages 与 
/var/log/secure I 


个 档案 ! 虽然 各 大 主要 Linux distribution 大 多 有 推出 适合 他 们 自己 的 登 
录 文 件 分 析 


软件 ， 例 如 CentOS 的 logwatch ， 不 过 毕竟 该 软件 并 不 见得 适合 所 有 的 


distributions ， 所 以 鸟 哥 尝试 自己 写 了 一 个 logfile.sh 的 shell script， 你 可 
以 


在 底下 的 网 址 下 载 该 程序 : 








http:/Ninux.vbird.org/download/index.php?action=detail&fileid=60 


好 了 ， 那 么 根据 这 些 流程 ， 你 觉得 cracker 这 些 个 坏蛋 能 够 怎样 的 攻击 
我 们 的 系 


统 呢 ?得 要 先 到 对 方 想 要 怎么 破坏 ， 我 们 才能 够 想 办 法 来 补 强 系统 
呆 ! 底下 先 讲 讲 基 


本 的 攻击 手法 喝 。 
7.1.2 常见 的 攻击 手法 与 相关 保护 


我 们 由 图 7.1-1 了 解 到 数据 传送 到 本 机 时 所 需要 经 过 的 几 道 防线 后 ， 那 
个 权限 是 


最 后 的 关键 啦 ! ”现在 你 应 该 比较 清楚 为 何 我 们 常常 在 基础 篇 里 面 一 直 
谈 到 设 定 正 确 的 


权限 可 以 保护 你 的 主机 了 吧 ? 那么 cracker 是 如 何 透 过 上 述 的 流程 还 能 
够 攻击 你 的 


系统 啊 ? 底下 就 让 我 们 来 分 析 分 析 。 














取得 帐户 信息 后 猜 密 码 


由 于 很 多 人 喜欢 用 目 己 的 名 字 来 作为 帐户 信息 ， 因 此 账 吕 的 取得 是 很 容 
易 的 ! 举例 


来 说 ， 如 果 你 的 朋友 将 你 的 email address 不 小 心 泄漏 出 去 ， 例 如 : 


dmtsai@your.host.name 之 类 的 样式 ， 那 么 人 家 就 会 知道 你 有 一 部 主机 ， 
名 称 为 


your.hostname， 且 在 这 部 主机 上 面 会 有 一 个 使 用 者 账号 ， 账 号 名 称 为 
dmtsai ， 之 后 


这 个 坏 家 伙 再 利用 某 些 特殊 软件 例如 nmap 来 进行 你 主机 的 port scan 之 
后 ， 嘿 嘿 ! 











他 就 可 以 开始 透 过 你 主机 有 局 动 的 软件 功能 来 猜 你 这 个 账号 的 密码 了 ! 


男 外 ， 如 果 你 常常 观察 你 的 主机 登录 文件 ， 那 你 也 会 发 现 如 果 你 的 主机 
有 启动 Mail 


server 的 服务 时 ， 你 的 登录 档 就 会 常常 出 现 有 些 怪 家 伙 尝 试 以 一 些 奇怪 
的 常见 账号 在 


试图 猜测 你 的 密码 ， 举例 来 说 像 : admin, administrator, webmaster .… 之 
类 的 账 
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号 ， 演 试 来 贸 取 你 的 私人 信件 。 ”如 果 你 的 主机 真 的 有 这 类 的 账号 ， 而 
且 这 类 的 账号 还 


没有 民 好 的 密码 规划 ， 那 就 容易 『 中 标 」! ” 唉 ! 真是 麻烦 ! 所 以 我 们 
常 讲 ， 系 统 账号 


干 万 不 能 给 予 密 码 ， 容 易 被 猜 密码 啊 ! 











这 种 猜 密码 的 攻击 方式 算是 最 早期 的 入 侵 模 式 之 一 了 ， 攻 击 者 知道 你 的 
账 写 ， 或 者 


古 可 以 猜 出 来 你 的 系统 有 哪些 账号 ， ”欠缺 的 就 只 是 密码 而 已 ， 因 此 他 
会 『 很 努力 的 ] 


去 猜 你 的 密码 ， 此 时 ， 你 的 密码 规划 如 有 果 不 好 的 话 ， 很 容易 就 被 攻击 
了 ! 主机 也 很 容 


易 和 被 绑架 啊 ! 所 以 ， 民 好 的 密码 设置 习惯 是 很 重要 的 。 


不 过 这 种 攻击 方式 比较 费时 ， 因 为 目前 很 多 软件 都 有 密码 输入 次 数 的 限 
制 ， 如 果 连 


续 输 入 三 次 密码 还 不 能 成 功 的 登入 ， ” 那 该 次 联机 整 会 被 断 线 ! 所 以 ， 
这 种 攻击 方式 日 


益 减 少 ， 目 前 偶而 还 会 看 到 就 是 了 ! 这 也 是 初级 cracker 会 使 用 的 方式 
之 一 。 那 我 们 


要 如 何 保护 呢 ? 基 本 方式 是 这 样 的 : 

减少 信息 的 曝光 机 会 : 例如 不 要 将 Email Address 随意 散布 到 Internet 
上 头 ; 

建立 较 严 格 的 密码 设 定 规则 : 包括 /etc/shadow, /etc/login.defs 等 档案 


的 设 定 ， 建议 你 可 以 参考 基础 篇 内 的 账号 管理 那 一 音 来 规范 你 
密码 变更 


由 如 果 主 机 够 稳定 且 不 会 持续 加 入 茶 些 账号 时 ， 也 可 以 考虑 
用 


chattr 来 限制 账号 (/etc/passwd, /etc/shadow) 的 更 改 ; 
善 的 权限 设 定 : 由 于 这 类 的 攻击 方式 会 取得 你 的 某 个 使 用 者 账号 的 


完善 
登入 权 





























限 ， ”所 以 如 果 你 的 系统 权限 设 定 得 宜 的 话 ， 那 么 攻击 者 也 仅 能 取得 一 
般 使 用 者 


ee 所 以 说 ， 权 限 设 定 是 重要 


利用 系统 的 程序 漏洞 [主动 」 攻击 


由 图 7.1-1 里 面 的 第 二 个 步骤 中 ， 我 们 知道 如 果 你 的 主机 有 开放 网 络 服 
务 时 ， 就 


必须 有 月 动 东 个 网 络 软件 嘱 ! 我 们 也 知道 由 于 软件 可 能 撰写 方式 的 问 
题 ， 可 能 产生 一 些 


会 被 cracker 乱用 的 时 虫 程 序 代码 ， 而 这 些 映 虫 程序 代码 由 于 产生 问题 
的 大 小 ， 有 分 


为 bug ( 愉 虫 ， 可 能 会 造成 系统 的 不 稳定 或 当 机 ) 与 Security (安全 问题 ， 
程序 代码 


撰写 方式 会 叶 臻 系统 的 权限 被 恶意 者 所 掌握 ) 等 问题 。 


当 程 序 的 问题 被 公布 后 ， 某 些 较 高 阶 的 cracker 会 尝试 撰写 一 些 针 对 这 
个 漏洞 的 

攻击 程序 代码 ， 并 且 将 这 个 程序 代码 放置 到 cracker 各 去 的 网 站 上 面 ， 
厌 以 推销 上 自己 

的 『 功 力 | .…. 鸟 哥 要 提醒 的 是 ， 这 种 程序 代码 『 是 很 容易 被 取得 
的 ] 。 当 更 多 『 盘 


2 朵 朵 没事 于 之 意 )」 取 得 这 些 程序 代码 后 ， 他 可 能 会 想 
要 | 斌 二 试 这 个 


攻击 程序 的 威力 ] ， ”所 以 就 使 来 「『 扫 射 上 一 一 ， 如 果 你 八字 比较 轻 ， 
或 者 当天 星座 学 














家 说 你 比较 倒霉 时 ， 可 能 就 会 被 不 小 心 的 攻击 到 .… 


这 种 攻击 模式 是 目前 最 常见 的 ， 因 为 攻击 者 只 要 拿 到 攻击 程序 就 可 以 进 
行 攻击 了 ， 

[而 且 由 攻击 开始 到 取得 你 系统 的 root 权限 不 需要 猜 密码 ， 不 需要 两 
分 钟 ， 就 能 够 


立刻 入 侵 成 功 】， 上 所 以 『 鼻 盘 美 集 子 」 们 最 爱 的 就 是 这 个 吃 吃 了 。 但 
这 个 玩意 儿 本 喘 
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征 靠 『 你 主机 的 程序 漏洞 」 来 攻击 的 ， 所 以 ， 如 果 你 的 主机 随时 保持 在 
实时 更 新 的 阶段 ， 


或 者 是 关闭 大 部 分 不 需要 的 程序 ， 那 吏 可 以 因 避 过 这 个 问题 。 因 此 ， 你 
应 该 要 这 样 做 : 


关闭 不 需要 的 网 络 服务 ， 开 的 port 越 少 ,可 以 被 入 侵 的 管道 越 少 ， 
一 部 





主机 负责 的 服务 越 单 纯 ， 越 容易 找 出 问题 点 。 
随时 保持 更 新 : 这 个 没 话 讲 ! 一 定 要 进行 的 ! 


关闭 不 需要 的 软件 功能 : 举例 来 说 ， 后 面 会 提 到 的 远程 登录 服务 器 
SSH 可 


以 提供 root 由 远程 登录 ， 那 么 危险 的 事情 当然 要 给 他 取消 啊 ! ^ 和 ^ 





利用 社交 工程 作 欺 骗 


社交 工程 (Social Engineering) 指 的 其 实 很 简单 ， 束 是 透 过 人 与 人 的 互动 
来 达到 


[入 侵 ] 的 目的 !，@_@! 人 与 人 的 互动 可 以 入 侵 你 的 主机 ? 鸟 哥 在 呼 





哎 你 吗 ? 当然 不 是 。 


近日 在 台湾 的 社会 你 不 是 名 看 到 某 些 人 会 以 『 退 税 、 中 奖 、 花 小 钱 买 贵 
重 物品 」 等 


名 义 来 欺骗 善良 老百姓 ， ”让 老百姓 掏 出 口袋 里 的 金钱 给 那些 可 恶 的 金 
光 党 吗 ? 社交 工 


程 也 是 类 似 的 方法 。 在 大 公司 里 面 ， ”或 许 你 可 能 会 接 到 这 样 的 电话 : 
[我 是 人 事 部 门 


的 经 理 ， 我 的 账号 为 何 突然 间 不 能 登入 了 ? ”你 给 我 看 一 看 ， 恩 ? 干脆 
直接 帮 我 为 建 一 


个 账号 ， 我 告诉 你 我 要 的 密码 是 .…」 。 如 果 你 一 时 不 碍 给 他 账号 密码 的 
话 ， 你 的 主 


机 可 能 就 这 样 被 绑 走 了 一 
社交 工程 的 欺骗 方法 多 的 是 ， 包 括 使 用 『 好 心 的 email 通知 ] 、 【警告 
信函 |]、 


[中 交 蛙 等 等 ， 在 在 都 是 要 欺骗 你 的 账号 密码 ， 有 的 则 利用 钓鱼 方 
式 来 欺骗 你 在 某 


些 恶 意 网 站 上 面 输入 你 的 账号 密码 ， ”很 讨厌 的 啦 ! 举例 来 说 ， 我 们 昆 
山 计 中 的 email 名 


常会 收 到 系统 维护 的 信件 ， 要 我 们 将 账号 密码 提交 给 系统 管理 员 统 一 控 
管 ， 这 当然 是 


假 的 ! 计 中 根本 不 会 寄 出 这 样 的 信件 啊 ! 伤 脑筋 啦 ! 所 以 要 注意 啊 ! 那 
要 如 何 防 范 呢 ? 


奶 踩 对 谈 者 : 不 要 一 味 的 相信 对 方 ， 你 必须 要 有 信心 的 网上 呈报 ， 
MN 


时 心慌 就 中 了 计 ! 





























不 要 随意 透露 账号 /密码 等 信息 : 最 好 不 要 随意 在 Internet 上 面 填 写 这 
上 由 


数据 ， 真 的 很 危险 的 ! 因为 在 Internet 上 面 ， 你 永远 不 知道 对 方 屏 幕 前 
面 坐 


独 的 是 谁 ? 


利用 程序 功能 的 『 被 动 」 攻 击 


啥 ? 除了 主动 攻击 之 外 ， 还 有 所 谓 的 被 动 攻 击 喔 ? 没 错 啊 ，『 系 金 
只】 ! 那 如 何 作 


被 动 攻 击 呢 ? ，” 那 就 得 要 由 『 恶 意 网 站 」 讲 起 了 。 如 果 你 喜欢 上 网 随意 
浏览 的 话 ， 那 么 


有 的 时 候 可 能 会 连 上 一 些 广告 很 多 ， ”或 者 是 一 堆 弹 出 式 窗口 的 网 站 ， 
这 些 网 站 有 时 还 


会 很 好 心 的 『 提 供 你 很 多 好 用 的 软件 自动 下 载 与 安装 」 的 功能 ， “如 宁 
该 网 站 是 你 所 信 
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任 的 ， 例 如 Red Hat, CentOS, Windows 官网 的 话 ， 那 还 好 ， 如 果 是 一 个 
你 也 不 清楚 


他 是 干 嘛 的 网 站 ， 那 你 是 否 要 同意 下 载 安 姜 该 软件 ? 


如 果 你 种 党 在 注意 一 些 网 络 危 机 处 理 的 相关 新 闻 时 ， 负 会 发 现 Windows 
的 浏览 器 


GE) 有 问题 ， 有 时 则 是 全 部 的 浏览 器 (Firefox, Netscap, IE.…) 都 会 出 现 问 
题 。 














那 你 会 不 会 觉得 奇怪 啊 ， ”怎么 『 浏 览 器 也 会 有 问题 ? 上 这 是 因为 很 多 
浏览 器 会 主动 的 








答应 对 方 WWW 主机 所 提供 的 各 项 程序 功能 ， 或 者 是 目 动 安装 来 自 对 
方 主机 的 软件 ， 有 


时 浏览 器 还 可 能 由 于 程序 发 生 安全 问题 ， 让 对 方 WWW 浏 贤 器 得 以 传 
送 恶 意 代 码 给 你 的 


主机 来 执行 ， 嘿 嘿 ! 中 标 ! 


那 你 又 会 想 啊 ， 那 我 干 嘛 浏览 那样 的 恶意 网 站 ? 呵呵 ! 会 有 些 粗心 
大 意 的 时 候 


啊 ! 如 果 你 今天 不 小 心 收 到 一 个 email ， 里 面 告 诉 你 你 的 银行 账号 有 问 
题 ， 硕 望 你 赶 


紧 连 此 个 网 页 去 看 看 你 的 账号 是 否 在 有 问题 的 行列 中 ， 你 会 不 会 去 ? 
如 果 今 天 有 个 


网 络 消 妃 说 菜 某 网 页 在 提供 大 特价 商品 ， 那 你 会 不 会 去 碰 碰 运 气 ? 都 
是 可 能 的 啊 ! 不 


过 ， 这 也 束 很 容易 被 对 方 攻击 到 了 了。 
那 如 何 防备 啊 ? 当然 建立 恨 好 的 习惯 最 重要 了 : 


随时 更 新 主机 上 的 所 有 软件 :如果 你 的 浏览 器 是 没有 问题 的 ， 那 对 
方 传递 
恶意 代码 时 ， 你 的 浏览 器 就 不 会 执行 ， 那 自然 安全 的 多 啊 ! 

较 小 化 软件 的 功能 : 举例 来 说 ， 让 你 的 收 信和 软件 不 要 主动 的 下 载 文 


i 


0 
容 服 


一 些小 麻烦 ; 


2 




















用 ” google 在 搜寻 问题 的 解决 之 道 啊 ， 那 你 如 何 知道 对 方 是 否 是 驴 人 
的 ? 所 以 ， 


前 面 两 点 防备 还 是 很 重要 的 ! 不 要 以 为 没有 连接 上 亚 意 网 站 就 不 会 有 问 


题 啊 ! 


蠕虫 或 木马 的 rootkit 


rootkit 意思 是 说 可 以 取得 root 权限 的 一 群 工具 组 (kiD， 融 如 同 前 面 主动 
攻击 


程序 漏洞 的 方法 一 样 ， rootkit 主要 也 是 透 过 主机 的 程序 漏洞 。 不 过 ， 


rootkit 也 会 


透 过 社交 工程 让 用 户 下 载 、 安 装 rootkit 软件 ， 结果 让 cracker 得 以 简单 
的 绑架 对 


方 主机 啊 ! 
rootkit 除了 可 以 透 过 上 述 的 方法 来 进行 入 侵 之 外 ，rootkit 还 会 伪装 或 者 


是 进行 

自我 复制 ， 举例 来 说 ， 很 多 的 rootkit 本 身 就 是 蠕虫 或 者 是 木马 间谍 程 
序 。 蠕 虫 会 让 

你 的 主机 一 直 发 送 封包 辐 外 攻击 ， ”结果 会 让 你 的 网 络 带宽 被 吃 光 光 ， 
例如 2001-2003 

年 间 的 Nimda, Code Red 等 等 ; 至 于 木马 程序 (Trojan Horse) 则 会 对 你 的 
主机 进行 

开启 后 门 ( 开 一 个 port 来 让 cracker 主动 的 入 侵 )， 结 果 就 是 .… 绑 架 、 绑 


架 、 绑 以 ! 
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rootkit 其 实 挺 不 好 奶 踪 的 ， 因 为 很 多 时 候 他 会 主动 的 去 修改 系统 观察 的 


指令 ， 包 


括 ls, top, netstat, ps, who, w, last, find 等 等 ， 让 你 看 不 到 某 些 有 问题 的 程 
序 ， 


如 此 一 来 ， 你 的 Linux 主机 就 很 容易 被 当成 是 跳板 了 ! 有 人 够 危险 ! 那 如 
何 防备 呢 ? 


不 要 随意 安装 不 明 来 源 的 档案 或 者 是 不 明 网 站 的 档案 数据 ; 


不 要 让 系统 有 太 多 危险 的 指令 : 例如 SUID/SGID 的 程序 ， 这 些 程序 
很 可 能 


会 造成 用 户 不 当 的 使 用 ， 而 使 得 木马 程序 有 机 可 趁 ! 
可 以 定时 以 rkhunter 之 类 的 软件 来 追 碍 : 有 个 网 站 提供 rootkit 程序 的 
检查 ， 你 可 以 前 往 下 载 与 分 析 你 的 主机 : 








http://www.rootkit.nl/projects/rootkit hunter.html 


DDoS 攻击 法 (Distributed Denial of Service ) 


5 [分 布 式 阻 断 服务 攻击 | ， 从 字面 上 的 意义 来 
它 就 是 


透 过 分 散在 各 地 的 僵尸 计算 机 进行 攻击 ， ”让 你 的 系统 所 提供 的 服务 被 
阻 断 而 无 法 顺利 


的 提供 服务 给 其 他 用 户 的 方式 。 ”这 种 攻击 法 也 很 要 命 ， 而 且 方 法 有 很 
多 ， 最 第 见 的 就 


属 SYN Flood 攻 








SYN 的 TCP 封包 之 后 ， 束 会 局 用 对 方 要 求 的 port 来 等 待 联机， 并 且 发 
送出 回应 封包 


( 带 有 SYN/ACK 旗 目 标 TCP 封包 )， 并 等 待 Client 端的 再 次 回应 。 


好 了 ， 在 这 个 步骤 当中 我 们 来 想 一 想 ， 如 果 cient 端 在 发 送出 SYN 的 封 
包 后 ， 却 


将 来 自 Server 端的 确认 封包 丢弃 ， 那 么 你 的 Server 端 就 会 一 直 空 等 ， 
而 且 Client 


端 可 以 透 过 软件 功能 ， 在 短 短 的 时 间 内 持续 发 送出 这 样 的 SYN 封包 ， 
那么 你 的 Server 


就 会 持续 不 断 的 发 送 确认 封包 ， 并 且 开 局 大 量 的 port 在 空 等 一 呵呵 ! 等 
到 全 部 主机 的 


port 都 启用 完毕 ， 那 么 … 系 统 就 挂 了 ! 


通常 攻击 主机 的 一 方 不 会 只 有 一 部 ! 他 会 透 过 Internet 上 
面 的 僵尸 


网 络 (已 经 成 为 跳板 ， 但 网 站 主 却 没有 发 现 的 主机 ) 发 动 全 体 攻击 ， 让 你 
的 主机 在 短 时 


间 内 就 立刻 挂 点 。 这 种 DDoS 的 攻击 手法 比较 类 似 『 玉 石 俱 焚 」 的 手 
段 ， 他 不 是 入 侵 


你 的 系统 ， 而 是 要 让 你 的 系统 无 法 正常 提供 服务 ! ”最 音 被 用 来 作为 阻 
肠 式 服务 的 网 络 


服务 就 是 WWW 了 ， 因 为 WWW 通常 得 对 整个 Internet 开放 服务 。 


这 种 攻击 方法 也 是 最 难处 理 的 ， 因 为 要 嘛 就 得 要 系统 核心 有 支持 自动 抵 
挡 DDoS 攻 


击 的 机 制 ， ”要 啤 你 束 得 要 自行 撰写 侦 测 软件 来 判断 ! 真是 麻烦 啊 一 而 
除非 你 的 网 站 非 


种 大 ， 并 且 『 得 徘 不 少 人 】 ， 人 否则 应 该 不 会 被 DDoS 攻击 啦 ! 和 人 和 








其 他 
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上 面 提 到 的 都 是 比较 常见 的 攻击 方法 ， 是 还 有 一 些 局 命 的 攻击 法 啦 ， 不 
过 那些 攻击 


法 都 需要 有 比较 高 的 技术 水 准 ， 例 如 卫 其 电 。 他 可 以 欺骗 你 主机 告知 
该 封包 来 源 是 来 


目 信 任 网 域 ， 而 且 透 过 封包 传送 的 机 制 ， ”由 攻击 的 一 方 持续 的 主动 发 
送出 确认 封包 与 


工作 指令 。 如 此 一 来 ， 你 的 主机 可 能 就 会 误 判 该 封包 确实 有 啊 应 ， 而 
且 是 来 自 内 部 的 


主机 。 


不 过 我 们 知道 因特网 是 有 路 由 的 ， 而 每 部 主机 在 每 一 个 时 段 的 ACK 确 
认 码 都 不 相 


同 ， “所 以 这 个 方式 要 达成 可 以 登入 ， 会 比较 麻烦 ， 所 以 说 ， 不 太 容 易 
发 生 在 我 们 这 些 


小 型 主机 上 面 啦 ! 不 过 你 还 是 得 要 注意 一 下 说 : 


设 定 规则 完善 的 防火 墙 : 利用 Linux 内 建 的 防火 墙 软件 iptables 建立 
较 


为 完善 的 防火 场 ， 可 以 防范 部 分 的 攻击 行为 ; 


核心 功能 : 这 部 份 比较 复杂 ， 你 必须 要 对 系统 核心 有 很 深入 的 了 解 ， 
才 有 


办 法 设 定好 你 的 核心 网 络 功能 。 
人 




















也 可 以 透 过 类 似 _MRTG 之 类 的 监控 软件 来 实时 了 解 到 系统 是 否 有 异 
常 ， 这 些 工 


作 都 是 很 好 的 努力 方 同 ! 


小 结语 


要 让 你 的 系统 更 安全 ,没有 『 三 两 三 」 是 没 办 法 『 上 梁山 ] 的 ! 我 们 也 


一 直 敦 吹 ， 


[维护 网 站 比 染 设 网 站 还 要 重要 」 的 观念 ! 因为 [一 人 得 道 鸡 犬 升 
天 」， 同 样 的 道理 : 


[一 人 中 标 全 员 挂 点 ] ， ”不 要 以 为 你 的 主机 没有 喻 重要 数据 ， 被 入 侵 
或 被 植 入 木马 也 


没有 关系 ， ”因为 我 们 的 服务 器 通常 会 对 内 部 来 源 的 主机 规范 的 较为 宽 
松 ， 如 果 你 的 主 


机 在 公司 内 部 ， ”但 古 不 小 心 被 入 侵 的 话 ， 那 么 贵 公司 的 服务 器 是 否 就 
会 暴露 在 危险 的 


环境 当中 了 ? 


另外 ， 在 蠕虫 很 【发 达 】」 的 年 代 ， 我 们 也 会 发 现 只 要 局 域 网 络 里 面 有 一 
部 主机 中 标 ， 


整个 局 域 网 络 就 会 无 法 使 用 网 络 了 ， ”因为 带宽 已 经 航 蠕 虫 塞 爆 ! 如 采 
老板 及 现 他 今天 


没有 办 法 收 信 了 ， 但 无 法 收 信 的 原因 并 非 服 务 器 挂 点 ， ”而 是 因为 内 部 
人 员 的 茶 部 个 人 


计算 机 中 了 蠕虫 ， 而 那 部 主机 中 里 虫 的 原因 只 是 因为 该 使 用 者 不 小 心 去 
看 了 一 下 色情 网 


站 ， 你 觉得 老板 会 高 兴 的 跟 该 员工 一 起 看 色情 网 站 还 是 fire 掉 该 人 员 ? 


























所 以 啊 ， 主 机 防护 还 是 很 重要 的 ! 不 要 小 看 了 ! 提供 几 个 方向 给 大 家 思 
考 看 看 吧 : 


1. 建立 完善 的 登入 密码 规则 限制 ; 

2. 完善 的 主机 权限 设 定 ; 

3. 设 定 自动 升级 与 修补 软件 漏洞 、 及 移 除 危险 软件 ; 

4. 在 每 项 系统 服务 的 设 定 当 中 ， 强 化 安全 设 定 的 项 目 ; 

5. 利用 iptables, TCP_Wrappers 强化 网 络 防 火 墙 ; 
人 
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7.1.3 主机 能 作 的 保护 : 软件 更 新 、 减 少 网 络 服 务 、 局 动 SELinux 


根据 本 章 前 面 的 分 析 ， 现 在 你 知道 封包 的 流 问 以 及 主机 基本 需要 进行 的 
防护 了 。 不 


过 你 或 许 还 是 有 疑虑 ， 那 就 是 ， ”既然 我 都 已 经 有 了 防火 墙 ， 那 么 权限 


的 控 管 啦 、 蜜 码 


的 严密 性 啦 、 服 务 器 软件 的 更 新 啦 、SELinux 啦 等 等 的 ， 是 合 


么 重要 呢 ? 毕 


苋 它 是 封包 进入 的 第 一 关卡 ! 这 关 把 关 严格 ， 后 续 可 以 稍微 宽松 吗 ? 其 
实 .… 你 错 了 ! 对 


于 开放 茶 些 服务 的 服务 器 来 说 ， 你 的 防火 墙 『 根 本 跟 屁 一 样 ， 是 没有 用 
的 ! 」 怎 么 说 呢 ? 


没有 这 








软件 更 新 的 重要 性 


让 我 们 瞧 一 瞧 图 7.1-1 的 流程 好 了 ， 假 设 你 需要 对 全 世界 开放 WWW ， 
那么 提供 


WWW 服务 的 httpd 这 只 程序 就 得 要 执行 并且， 你 的 防火 墙 得 要 打开 
port 80 让 全 世 


界 都 可 以 连接 到 你 的 port 80 ， 这 样 才 是 一 部 合理 的 WWW 服务 器 嘛 ! 
问题 来 啦 ， 如 果 


httpd 这 只 程序 有 资 安 方面 的 问题 时 ， 请 问 防 火 墙 有 没有 效用 ?当然 没 
有 ! 因为 防火 墙 


原本 就 得 要 开放 port 80 啊 ! 此 时 防火 墙 对 你 的 WWW 一 扣 防 护 也 没 
有 。 那 怎 办 ? 


没 哈 好 说 的 ， 束 是 软件 持续 更 新 到 最 新 就 对 了 ! 因为 目 由 软件 就 是 有 这 
个 好 处 ， 当 


你 的 程序 有 问题 时 ， “开发 商会 在 最 短 的 时 间 内 取得 志 工 提供 的 修补 程 
序 (patch) ， 并 


将 该 程序 代码 补充 到 软件 更 新 数据 库 中 ， 让 一 般 用 户 可 以 直接 透 过 网 
络 来 自动 更 新 。 


因此 ， 要 克服 这 个 服务 器 软件 的 问题 ， 更 新 系统 软件 就 对 了 。 


但 是 你 得 要 注意 ， 你 的 系统 能 否 更 新 软件 与 系统 的 版 本 有 关 ! 举例 来 
说 ，2003 年 


左右 发 布 的 Red Hat 9 目前 已 经 没有 支持 了 ， 如 果 你 还 是 执意 要 安装 
Red Hat 9 这 


套 系 统 ， 那 么 很 抱歉 ， 你 得 要 手动 将 系统 内 的 软件 透 过 make 动作 来 重 
新 编译 到 最 新 版 ， 


因此 ， 很 唉 烦 一 同样 的 ， Fedora 最 新 版 虽然 有 提供 网 络 上 自动 更 新 ， 但 


是 Fedora 每 一 














个 版 本 的 维护 期 间 较 短 ， ”你 可 能 需要 常常 大 幅度 的 变更 你 的 版 本 ， 这 
对 服务 占 的 设 定 


也 不 妥当 。 此 时 一 个 企业 版 本 的 Linux distributions 就 很 重要 啦 ! 举例 
来 说 ， 乌 站 


的 主机 截 多 目前 为 止 (2011/07) 还 征 使 用 CentOS 4x ， 因 为 这 个 版 本 日 


前 还 是 持续 


维护 中 。 这 对 服务 器 来 说 ， 是 相当 重要 的 ! 稳定 与 安全 比 什 么 都 重 


要 ! 

想 要 了 解 软 件 的 安全 通报 ， 可 以 参考 如 下 的 网 站 数据 喔 ! 
台湾 计算 机 危机 处 理 小 组 (TWCERT):_http://www.cert.org.tw/ 
Red Hat 的 官方 说 明 : https://www.redhat.conysupport/ 
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再 回 到 图 7.1-1 当中 ， 同 时 思考 一 下 第 二 章 网 络 基础 里 面谈 到 的 网 络 联 
机 是 双 回 


这 件 事 ， 我 们 会 得 到 一 个 答案 ， 那 就 是 在 图 7.1-1 内 的 第 二 个 步骤 中 ， 
如 果 能 够 减少 


服务 器 上 面 的 监听 埋 口 ， ”此 时 因为 服务 器 痢 没 有 可 供 联机 的 塌 口 ， 客 
户 端 当然 也 就 无 


法 联机 到 服务 器 端 嘛 ! 那么 如 何 限制 服务 器 开启 的 塌 口 呢 ? 第 二 章 就 
谈 到 过 了 ， 关 闭 


塌 口 的 方式 是 透 过 关闭 网 络 服务 。 没 错 啊 ! 所 以 吃 ， 此 时 能 够 减少 网 络 








服务 就 减少 ， 可 
以 避免 很 多 不 必要 的 肝 烦 。 


权限 与 SELinux 的 辅助 


根据 网 络 上 面 多 年 来 的 观察 ， 很 多 朋友 在 发 生 权 限 不 足 方面 的 问题 后 ， 
都 会 直接 将 


某 个 目录 直接 修订 成 为 chmod -R 777 /some/path/。 如 果 这 部 主机 只 是 测 
试用 的 没有 


上 网 提供 服务 ， 那 还 好 。 如 果 有 上 网 提供 某 些 服 务 时 ， 那 可 就 伤 脑 盘 
了 ! 因为 目录 的 wx 


人 代表 该 身份 可 以 进行 新 增 与 删除 的 动作 。 偏 偏 你 又 
给 777 


(rwxrwxrwx) ， 代 表 所 有 的 人 都 可 以 在 该 目录 下 进行 新 增 与 删除 ! 万 一 
不 小 心 某 文 程 


序 补 攻击 而 被 取得 操作 权 ， 想 想 看 ， 你 的 系统 不 就 可 能 和 被 写 入 东 些 可 怕 
的 东西 了 吗 ? 所 


以 不 要 随便 设 定 权 限 啊 ! 


i Oe 
纯 的 三 和 有 


份 的 三 种 权限 来 设 定 你 的 系统 时 ， 那 该 如 何 是 好 ? 没关系 的 ， 可 以 透 
过 ACL 这 个 好 用 


的 东西 ! ACL 可 以 针对 单一 账 扎 或 单一 群 组 进行 特定 的 权限 设 定 ， 相 
当 好 用 喔 ! 他 可 


人 
吻 ! 




















那 如 何 避 免 用 户 乱 用 系统 ， 乱 设 定 权限 呢 ? 这 个 时 候 惑 得 要 透 过 
SELinux 来 控制 


了 。SELinux ”可 以 在 程序 与 档案 之 间 再 加 入 一 道 细部 的 权限 控制 ， 
此 ， 即 使 程序 与 档 


案 的 权限 符合 了 操作 动作 ， 但 如 果 程 序 与 档案 的 SELinux 类 型 (type) 不 
吻合 时 ， 那 


么 该 程序 就 无 法 读 取 该 档案 喔 ! 此 外 ， 我 们 的 CentOS 也 针对 了 某 些 常 
用 的 网 络 服务 


制订 了 许多 的 档案 使 用 规则 (rule)， 如 果 这 些 规则 没有 启用 ， 那么 即使 
权限 、SELinux 


类 型 都 对 了 ， 该 网 络 服务 的 功能 还 是 无 法 顺利 的 运作 喔 ! 


根据 这 样 的 分 析 ， 我 们 可 以 知道 ， 随 时 更 新 系统 软件 、 限 制 联机 器 口 口 
以 及 透 过 局 


动 SELinux 来 限制 网 络 服务 的 权限 ， 经 过 这 三 个 简单 的 步骤 ， 你 的 系统 
将 可 以 获得 相 


当 大 的 保护 ! 当然 啦 ， ”后 续 的 防火 墙 以 及 系统 注册 表 档 分 析 工 作 仍 是 
需要 进行 的 。 本 


章 后 续 将 依据 这 三 点 来 深入 介绍 。 
7.2 网 络 自动 升级 软件 
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因特网 上 面 ，cracker 实在 是 太 多 了 ! 这 些 内 人 会 利用 已 经 存在 
系统 漏 


洞 ， 来 进行 侦 测 、 入 侵 你 的 主机 。 因此， 除了 未 来 架设 防火 墙 之 外 ， 
最 重要 的 Linux 日 








常 管理 工作 ， 莫 过 于 软件 的 升级 了 ! ”不 过 ， 如 果 使 用 者 还 得 要 自己 每 
天 观察 网 络 安全 


通报 ， 并 主动 去 查询 各 大 distribution 针对 这 些 漏洞 来 提供 升级 软件 包 ， 


那 真是 太 


不 人 性 化 了 ! 因此 ， 目 前 就 有 很 多 在 线 直 接 更 新 的 机 制 出 现 了 ! 有 了 这 
些 在 线 直 接 更 新 


我 们 系统 管理 员 在 管理 主机 系统 上 面 ， 可 就 轻松 
和 多 嗓 ! 


7.2.1 如 何 进行 软件 升级 


通常 名 安装 好 Linux 之后， 会 先 开启 系统 吹 认 的 防火 增 机 制 ， 然 后 第 
一 件 事 情 


就 是 进行 全 系统 更 新 啦 ! 不 论 是 哪 一 套 Linux 乌 哥 都 是 这 样 做 的 ， 因 为 
要 避免 软件 资 


安 的 问题 嘛 ! 好 了 ， 那 么 Linux 上 面 的 软件 该 如 何 进 行 更 新 与 升级 呢 ? 
还 记得 你 是 如 


何 安装 软件 的 吗 ? 不 就 是 rpm, tarball 与 dpkg 吗 ? 所 以 哆 ， 你 的 软件 如 
果 想 要 升 














级 ， 那 就 得 依据 当时 你 安装 该 软件 的 方式 来 进行 升级 啊 ! 而 每 种 方式 都 


RPM: 








这 是 目前 最 常见 于 Linux distribution 当中 的 软件 管理 方式 ， 包 括 CentOS 


~ 


Fedora / SuSE /Red Hat / Mandriva 等 等 ， 都 是 使 用 这 个 方式 来 管理 的 ; 
Tarball: 


利用 软件 的 官方 网 站 所 释 出 的 原始 码 在 您 的 系统 上 面 编 译 与 安装 ， 一 


般 来 说 ， 


由 于 软件 是 直接 在 自己 的 机 器 上 面 编 译 的 ， 所 以 效能 会 比较 好 一 些 。 
不 过 ， 升 


因为 又 得 要 下 载 新 的 原始 码 并 且 重 新 编译 一 次 。 


装 模 式 常见 于 某 些 特殊 软件 (没有 包含 在 _ distribution ”当中 )， 或 者 是 


Gentoo 











这 个 强调 效能 的 distribution; 
dpkg: 


是 debian 这 个 distribution 所 使 用 的 软件 管理 方式 ， 与 RPM 很 类 似 ， 都 
是 


透 过 预先 编译 的 处 理 ， 可 以 让 end user 直接 使 用 来 升级 与 安装 。 


举例 来 说 ， 如 果 你 的 系统 是 CentOS ， 我 们 知道 他 使 用 的 是 RPM 类 型 
的 软件 管理 


模式 ， 那 如 果 你 想 要 安装 B2D 的 软件 怎 办 ? 要 注意 ， B2D 是 使 用 
debian 的 dpkg 来 


管理 软件 的 ， 两 者 并 不 相同 啊 ! 要 互相 安装 太 难 了 ! ”所 以 说 ， 要 升级 
的 话 ， 得 先 了 解 


到 你 系统 上 的 软件 安装 与 管理 的 方法 才 行 。 


不 过 ， 有 个 特殊 案例 ， 那 就 是 旧版 本 的 Linux (例如 Red Hat 9) 的 软件 升 
级 该 如 


何 是 好 ? ”由 于 旧版 本 的 软件 支持 度 本 来 束 比 较 差 ， 两 业 公 司 或 者 是 社 
群 也 没有 这 么 多 


心力 放 在 旧版 本 的 支持 上 ， 所 以 ， 你 这 个 时 候 可 以 选择 (1) 升 级 到 较 
新 的 版 本 ， 例 








如 CentOS 6.x， 或 者 是 (2) 利 用 Tarball 来 自行 升级 核心 与 软件 。 不 过 ， 
比较 建议 升 


级 到 新 版 本 啦 ， 因 为 要 自行 以 手动 方式 由 Tarball 安装 到 最 新 的 版 本 ， 
实在 是 很 费时 


费力 ， 而 且 还 得 要 常常 查阅 官方 网 站 所 推出 的 最 新 消息 ，” 漏 过 一 则 都 
可 能 发 生 无 法 预 


期 的 状况 。 
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我 们 都 晓得 在 Windows 的 环境 下 ， 他 有 提供 一 个 Live update 的 项 目 可 
以 自动 的 


在 线 升 级 ，“ 甚至 很 多 的 防 病毒 软件 与 防 木 马 软件 也 都 有 推出 实时 的 在 
线 更 新 ， 如 此 一 


来 可 以 让 您 的 软件 维持 在 最 新 版 的 状况 ， 真是 好 啊 ! 喷 ! 那 我 们 的 


Linux 是 否 有 这 样 


的 功能 ?如 果 有 的 话 ， 那 么 系统 目 动 进行 软件 升级 ， “不 就 可 以 轻松 义 
快乐 了 ? 没 错 ! 


确实 是 这 样 的 ! 所 以 就 让 我 们 来 谈 一 谈 Linux 的 在 线 升级 机 制 吧 ! 


在 Linux 最 常见 的 软件 安装 方式 : RPM / Tarball / dpkg 当中 ，Tarball 由 
让 


取得 的 是 原始 码 ， 所 以 要 用 Tarball 来 作 在 线 自 动 更 新 是 不 太 可 能 进行 
的 ， 所 以 仅 能 


用 RPM 或 dpkg 这 两 种 软件 管理 的 方式 来 进行 在 线 更 新 了 。 


但 RPM 与 dpkg 不 是 有 所 谓 的 相依 属性 吗 ? 这 倒 不 需要 担心 响 ! 因为 我 
们 的 RPM 


与 dpkg 软件 档案 都 有 一 些 软件 的 基本 信息 ， 并 同时 记录 了 软件 的 相依 

















属性 (记得 使 


用 tpm -q 的 查询 吗 )， 所 以 当 分 析 这 些 基 本 信息 并 使 用 一 些 机 制 将 这 些 
相依 信息 记录 


下 来 后 ， ”再 透 过 一 些 额 外 的 网 络 功能 ， 束 能 够 自动 的 分 析 你 的 系统 与 
修补 软件 之 间 的 


差异 ， ”并 可 进一步 帮 你 分 析 所 需要 升级 与 相依 属性 的 软件 ， 就 可 达成 
目 动 升级 的 理想 


啦 ! 


由 于 各 家 distributions 在 管理 系统 上 都 有 自己 独特 的 想法 ， 所 以 在 分 析 
RPM 或 


dpkg 软件 与 方式 上 面 就 有 所 不 同 ， 也 就 有 底下 这 些 不 同 的 在 线 升级 机 


制 啦 : 





yum: 


CentOS 与 Fedora 所 常用 的 自动 升级 机 制 ， 透 过 FTP 或 WWW 来 进行 
在 线 升 级 


以 及 在 线 直接 安装 软件 ; 

apt: 
debian 这 个 distribution 所 发 展 ， 现 在 B2D 也 是 使 用 apt ， 同 时 
于 apt 的 可 移植 性 ， 所 以 只 要 你 的 RPM 可 以 使 用 apt 来 管理 的 话 ， 就 
可 以 自 
行 建立 apt 服务 器 来 提供 其 他 使 用 者 进行 在 线 安 闭 与 升级 。 

you: 


所 谓 的 Yast Online Update (YOU) 是 由 SuSE 所 自行 开发 出 来 的 在 线 安 


装 升 级 


方式 ， 经 过 注册 取得 一 组 账号 密码 后 ， 束 能 够 使 用 you 的 机 制 来 进行 
在 线 升级 。 


不 过 如 果 是 免费 的 版 本 ， 则 仅 有 60 天 的 试用 期 ! 
urpmi: 
这 个 则 是 Mandriva 所 提供 的 在 线 升 级 机 制 ! 
讲 了 这 些 升级 机 制 并 且 与 distribution 作 了 对 应 ， 你 就 该 了 解 到 : 『 每 个 
distribution 可 以 使 用 的 在 线 升级 机 制 都 不 相同 」 的 啊 ! 所 以 请 参考 你 的 


distribution 所 提供 的 文件 来 进行 在 线 升级 的 设 定 嘿 ! 否则 就 得 要 自行 手 
动 下 载 安 疲 


1! @@ 


鸟 哥 这 里 都 是 使 用 CentOS 这 个 Red Hat 兼容 的 distributions 来 介绍 的 ， 
因此 ， 





底下 仅 介 绍 了 yum 而 已 。 不 过 ，yum 已 经 能 够 适用 于 CentOS, Red Hat 
Enterprise 


Linux, Fedora 等 等 ， 也 应 该 是 挺 够 用 的 了 ! 另外 ， 基 础 篇 里 面 已 经 谈 过 
rpm 与 yum 


的 用 法 ， 上 所 以 在 这 里 仅 是 加 强 介绍 与 更 新 有 关 的 用 法 而 已 嗓 ! 
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和 容 屁 音 料 清香 资 际 恢 休 目录 


/pathrepodatay/ 清 时 FTP/http 均 可 








清 军 记 钞 


ivaricache’yum/ 






Linux 用 握 鲍 
7.2.2 CentOS 的 yum 软件 更 新 、 映 像 站 使 用 的 原理 


我 们 曾经 在 基础 篇 里 面谈 过 “yum 了， 基本 上 他 的 原理 是 ， 我 们 的 
CentOS 会 跑 到 


yum 服务 器 上 头 ， 下 载 了 官方 网 站 释 出 的 RPM 表 头 列表 数据 ， 该 数据 
除了 记载 每 个 RPM 


软件 的 相依 性 之 外 ， 也 说 明了 RPM 档案 所 放置 的 容器 (repository) 所 
在 。 因 此 透 过 


分 析 这 些 数据 ， 我 们 的 CentOS 就 能 够 直接 使 用 yum 去 下 载 与 安装 所 需 
要 的 软件 了 ! 


详细 图 标 与 流程 有 点 像 这 样 : 

图 7.2-1、 使 用 yum 下 载 清 单 表 头 与 取得 容器 相关 资料 示意 图 

1. 先 由 配置 文件 判断 yum server 所 在 IP 地 址 ; 

2. 连接 到 yum server 后 ， 先 下 载 新 的 RPM 档案 的 表 头 数据 ; 

3. 分 析 比 较 使 用 者 所 欲 安 装 /升级 的 档案 ， 并 提供 使 用 者 确认 ， 

4. 下 载 用 户 选择 的 档案 到 系统 中 的 /var/cache/yum ， 并 进行 实际 安装 ; 








由 于 你 所 下 载 的 清单 当中 已 经 含有 所 有 官方 网 站 所 释 出 的 RPM 档案 的 
表 头 相依 属 


性 的 关系 ，“” 所 以 如 果 你 想 要 安装 的 软件 包含 菏 些 尚未 安装 的 相依 软件 
时 ， 我 们 的 yum 


会 顺便 帮 你 下 载 所 需要 的 其 他 软件 ， 预 安装 后 ， ”再 安装 你 所 实际 需要 
的 软件 ! 从 分 析 、 


下 载 到 安装 ， 全 部 一 口气 搞定 ! 很 简单 的 啦 ! 


不 过 ， 疏 人 还 是 有 问题 。 如 果 全 世界 使 用 CentOS 的 朋友 通通 联机 到 同 
一 部 Yum 服 


务 器 去 下 载 所 需要 的 RPM 档案 ， 哇 ! 那 带 宽 不 就 很 容易 被 塞 爆 ! 那 怎 
办 ? 没关系 ， 有 


所 谓 的 映射 站 啊 ! CentOS 在 世界 各 地 都 有 映像 站 ， 这 些 映像 站 会 将 官 
网 的 yum 服务 


虱 的 数据 复制 一 份 ， 同 时 在 映射 站 上 面 也 提供 同样 的 ”yum 功能 ， 
此 ， 你 可 以 在 任何 


一 部 yum 服务 右 的 映像 站 上 面 下 载 与 安装 软件 。 抵 下 是 CentOS 官网 上 
面 列 出 的 亚洲 


地 区 映射 站 一 览 














http://www.centos.org/modules/tinycontent/index.php?id=32 
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ee 它 会 自动 的 去 分 析 离 你 的 主机 最 近 的 那 部 映射 
站 ， 然 


接 使 用 该 部 映像 主机 作为 你 的 yum 来 源 ， 因此 ， 『 理 论 上 」 你 不 需要 
更 动 任何 设 定 ， 


于 台 湾 ， 你 的 CentOS 就 会 使 用 台湾 地 区 的 yum 服务 器 嗓 ! 就 这 么 简 
单 ! 所 以 ， 接 下 


来 就 让 我 们 直接 来 谈 谈 怎 么 使 用 yum 吧 ! 

Tips: 

yum 的 原理 与 相关 使 用 ， 我 们 在 基础 篇 里 面 已 经 分 门 别 类 的 介绍 过 
了 ， 因 此 底下 仪 就 比较 重要 的 部 分 介绍 一 下 哆 ! 

7.2.3 yum 的 使 用 : 安装 , 软件 群 组 , 全 系统 更 新 


yum ”可 不 止 能 够 在 线 目 动 升 级 而 已 ， 他 还 可 以 作 碍 询 、 软 件 群 组 的 安 
六、 整体 版 本 


的 升级 等 等 ， 好 用 的 哩 ! 先 来 谈论 一 下 yum 这 个 指令 的 用 法 吧 : 
[root@www ~]# yum [option] [查询 的 工作 项 目 ] [相关 参数 ] 
选项 与 参数 : 

option: 主要 的 参数 ， 包 括 有 : 

-y : 当 yum 询问 使 用 者 的 意见 时 ， 主 动 回答 yes 而 不 需要 由 键盘 输入 ; 
0 0 i 








install : 指定 安装 的 软件 名 称 ， 所 以 后 面 需 接 『 软件 名 称 」 
update : 进行 整体 升级 的 行为 ,当然 也 可 以 接 茶 个 软件 ， 仅 升级 一 个 软 


1 

remove : 移 除 茶 个 软件 ， 后 面 需 接 软件 名 称 ; 

search : 搜寻 某 个 软件 或 者 是 重要 关键 字 ; 

list : 列 出 目前 yum 所 管理 的 所 有 的 软件 名 称 与 版 本 ， 有 点 类 似 rpm 
-qa; 

info : 同上 ， 不 过 有 点 类 似 rpm -qai 的 执行 结 





clean : 

下 载 的 档案 被 放 到 /var/cache/yum ， 

可 使 用 clean 将 他 移 除 ， 

可 清除 的 项 目 : packages | headers | metadata | cache 等 ; 


在 [得 询 的 工作 项 目 ] 部 分 还 可 以 具有 整个 群 组 软件 的 安装 方式 ， 如 下 所 
小: 


grouplist : 列 出 所 有 可 使 用 的 『 软 件 群 组 | ， 例 如 Development Tools 
之 类 的 ; 

groupinfo : 后 面 接 group_name， 则 可 了 解 该 group 内 含 的 所 有 软件 
名 ; 

groupinstall: 这 个 好 用 ! 可 以 安装 一 整 组 的 软件 群 组 ， 相 当 的 不 错 用 ! 
更 常 与 --installroot=/some/path 共享 来 安装 新 系统 

groupremove : 移 除 某 个 软件 群 组 ; 
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# 范例 一 : 搜寻 CentOS 官网 提供 的 软件 名 称 是 否 有 与 RAID 有 关 的 ? 


[root@www ~]# yum search raid 


Loaded plugins: fastestmirror 


Loading mirror speeds from cached hostfile <== 这 里 就 是 在 测试 最 快 的 


映射 站 


* base: ftp.isu.edu.tw <== 共 有 四 个 容器 内 容 





* extras: ftp.isu.edu.tw <== 每 个 容 右 都 在 
ftp.isu.edu.tw 上 

* updates: ftp.isu.edu.tw 

base | 3.7 kB 00:00 <== 下 载 软件 的 表 头 
列表 中 

extras | 951 B 00:00 


updates | 3.5 kB 00:00 


结果 如 下 


dmraid.i686 : dmraid (Device-mapper RAID tool and library) 


…( 中 间 省 略 )..… 


<== 找 到 的 


mdadm.x86_64 : The mdadm program controls Linux md devices (software 


RAID 
.…( 底 下 省 略 )… 


# 范例 二 : 上 述 输出 结果 中 ， mdadm 的 功能 为 何 ? 


[root@www ~]# yum info mdadm 


Loaded plugins: fastestmirror 

Loading mirror Speeds from cached hostfile 
* base: ftp.twaren.net 

* extras: ftp.twaren.net 


* updates: ftp.twaren.net 





Installed Packages <== 这 里 说 明 这 是 已 经 安装 的 软件 ! 

Name : mdadm 

Arch : x86_64 

Version : 3.1.3 

Release : 1.el6 

Size : 667 k 

Repo : installed 

From repo : anaconda-CentOS-201106060106.x86_64 

Summary : The mdadm program controls Linux md devices (software RAID 
URL : http://www.kernel.org/pub/linux/utils/raid/mdadm/ 

License : GPLV2+ 

Description: The mdadm program is used to create, manage, and monitor 
(底下 省 略 )…. 

# 由 上 述 底线 的 Summary 关键 词 ， 知 道 这 软件 在 达成 软件 磁盘 阵列 功 


后 已 
能 ! ! 
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yum ”真是 个 很 好 用 的 东西 ， 它 可 以 直接 碍 询 是 侣 有 茶 些 特殊 的 软件 名 
称 。 举 例 来 说 ， 你 


可 以 利用 底下 的 两 个 方式 取得 软件 名 称 : 
yum search "一 些 关键 词 " 
yum list (可 列 出 所 有 的 软件 文件 名 ) 


然后 再 以 正规 表示 法 取得 关键 词 ， 或 者 是 『 yum info "软件 名 称 」 吾 
能 够 知道 


该 软件 的 用 途 ， 最 后 再 决定 要 不 要 安装 啊 ! 上 面 的 范例 一 就 是 在 找 出 磁 
盘 阵 列 的 管理 软 


件 。 如 果 确 定 要 安装 时 ， 那 驶 参考 参考 底下 的 流程 吧 ! 





利用 yum 进行 安装 

# 范例 三 : 安装 某 个 软件 吧 ! 以 mdadm 这 个 软件 名 为 例 : 
[root@www ~]# yum install mdadm 

.…( 前 面 省 略 ).…. 

Setting up Install Process 

Package mdadm-3.1.3-1.el6.x86 64 already installed and latest version 
Nothing to do 

[root@www ~]# yum install mdadma 

Setting up Install Process 


No package mdadma available. 


Nothing to do 


仔细 的 看 上 述 的 两 个 指令 ， 第 二 个 指令 乌 哥 故意 写 错 字 ， 让 软件 名 称 由 
mdadm 变 成 


mdadma 了 ! 仿真 同学 如 果 打 错字 时 所 输出 的 讯 足 。 由 上 述 的 讯 奶 你 可 
以 知道 ， 同 样 结 


果 是 『Nothing to do」， 但 是 yum 会 告诉 你 该 软件 是 『 已 安装 (installed 
and lastest 


versiom)」 还 是 『 没 有 该 软件 (No package mdadma avaliable)」 。 作 这 个 
范例 是 希望 


朋友 们 能 够 仔细 的 看 输出 的 讯 上 县 啦 ! 好 啦 ! 我 们 还 是 来 安装 一 个 不 曾 闭 


过 的 ， 就 拿 


javacc 这 套 软 件 来 装 看 看 好 了 ! 





[root@www ~]# yum list javacc* 

Available Packages 

javacc.x86_64 4.1-0.5.el6 base 

javacc-demo.x86_64 4.1-0.5.el6 base 

javacc-manual.x86_64 4.1-0.5.el6 base 

# 共有 三 套 软件 ， 分 别 是 javacc, javacc-demo, javacc-manual ， 版 本 为 
4.1-0.5.el6, 

# 软件 是 放置 到 名 称 为 base 的 容器 当中 存放 的 。 
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[root@www ~]# yum install javacc 


.…( 前 面 省 略 )…. 

Setting up Install Process 

Resolving Dependencies 

--> Running transaction check <== 开 始 检查 有 没有 相依 属性 的 软件 问题 
---> Package javacc.x86_64 0:4.1-0.5.el6 set to be Updated 

.…( 中 间 省 略 )…. 


Size 


Installing: 

javacc x86_64 4.1-0.5.el6 base 

895 k 

Installing for dependencies: 

java-1.5.0-gcj x86_64 1.5.0.0-29.1.el6 base 
139 k 

java_cup x86_64 1:0.10k-5.el6 base 

197k 

sinjdoc x86_64 0.5-9.1.el6 base 


705 k 


Transaction Summary 


Install 4 Package(s) <== 安 装 软件 汇 整 ， 共 安装 4 个 ， 升 级 0 个 软 
Upgrade 0 Package(s) 

Total download size: 1.9 M 

Installed size: 5.6 M 

Is this ok [y/N]: y <== 让 你 确认 要 下 载 否 ! 

Downloading Packages: 

(1/4): java-1.5.0-gcj-1.5.0.0-29.1.el6.x86_64.rpm | 139 kB 
00:00 

(2/4): java_cup-0.10k-5.el6.x86_64.rpm | 197 kB 

00:00 

(3/4): javacc-4.1-0.5.el6.x86_64.rpm | 895 kB 

00:00 

(4/4): sinjdoc-0.5-9.1.el6.x86_64.rpm | 705 kB 
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00:00 


Total 3.1 MB/s | 1.9 MB 


00:00 

Running rpm_check debug 

Running Iransaction Test 

Transaction Test Succeeded 

Running Iransaction 

Installing : java-1.5.0-gcj-1.5.0.0-29.1.el6.x86_64 
1/4 

Installing : 1:java_cup-0.10k-5.el6.x86_64 
2/4 

Installing : sinjdoc-0.5-9.1.el6.x86_64 

3/4 

Installing : javacc-4.1-0.5.el6.x86_64 

4/4 


Installed: <== 主 要 需要 安装 的 





javacc.x86_64 0:4.1-0.5.el6 

Dependency Installed: <== 为 解决 相依 性 额外 装 的 
java-1.5.0-gcj.X86_64 0:1.5.0.0-29.1.el6 java_cup.x86_64 
1:0.10k-5.el6 

sinjdoc.x86_64 0:0.5-9.1.el6 


Complete! 


瞧 ! 经 过 yum 我 们 可 以 很 轻松 的 就 安装 好 一 个 软件 ， 并 且 这 个 软件 己 
经 主动 的 帮 有 我们 


做 好 相依 属性 的 元 服 了 ， 真 是 方便 到 爆 ! 另外 ，CentOS 6.x 默认 的 情况 
下 ，yum 下 载 


的 数据 除了 每 个 容器 的 表 头 清单 档案 之 外 ， 所 有 下 载 的 RPM 档案 部 会 
在 安装 完毕 之 后 


予以 删除 ! ”这 样 你 的 系统 就 不 会 有 容量 被 下 载 的 数据 塞 爆 的 问题 。 但 
如 果 你 想 要 下 载 


的 RPM 档案 继续 保留 在 /var/cache/yum 当中 ， 就 得 要 修改 /etc/yum.conf 
配置 文件 


了 1! 

[root@www ~]# vim /etc/yum.conf <== 看 看 就 好 ， 不 要 真 的 作 ! 
[main| 
cachedir=/var/cache/yum/$basearch/$releasever 
keepcache=1 

debuglevel=2 

logfile=/var/log/yum.log 

exactarch=1 

obsoletes=1 
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…( 底 下 省 略 )..… 


上 述 的 特殊 字体 地 方 将 0 改 成 1 ， 这 样 就 能 够 让 你 的 RPM 档案 保存 下 
来 。 不 过 ， 除 


非 你 有 好 多 部 主机 要 更 新 ， 你 想 利用 一 台 先 yum 升级 且 下载 ， 然 后 将 
所 有 的 RPM 档 


案 收集 起 来 给 内 网 的 机 器 升级 (rpm -Fvh *.rpm) 之 外 ， 上 面 的 vim 修改 
动作 不 建议 


修改 ! 因为 你 的 /var 人 荡 介 会 被 旱 爆 啊 ! 再 次 提醒 ! 





yum 安装 软件 群 组 


什么 是 【软件 群 组 】 呢 ? 由 于 RPM 软件 将 一 个 大 项 目 分 成 好 几 个 小 计 
划 来 执行 ， 


每 个 小 计划 都 可 以 独立 安装 ， ”这样 的 好 处 是 可 以 让 使 用 者 与 软件 开发 
者 安装 不 同 的 环 


境 ! 举例 来 说 ， 在 桌面 系统 中 (Desktop)， 一 般 用 户 应 该 不 会 跑 去 发 展 
软件 吧 ? 所 以 


针对 加 面 计算 机 ， 软 件 群 组 义 分 为 "Desktop ”Platform"” 与 开发 者 


"Desktop Platform 


Development" 两 部 份 ， 每 个 软件 群 组 内 又 含有 多 个 不 同 的 RPM 软件 档 
案 ! 这 样 做 的 


用 途 是 方便 使 用 者 安装 一 整套 的 项 目 啦 ! 


那么 系统 有 多 少 软件 群 组 呢 ? 又 该 如 何 观 察 某 个 软件 群 组 有 拥有 的 
RPM 档案 呢 ? 


我 们 就 利用 Desktop Platform 这 个 项 目 来 说 明 一 下 嗓 ; 
# 范例 四 : 查询 系统 有 的 软件 群 组 有 多 少 个 ? 
[root@www ~l# LANG=C yum grouplist 


Installed Groups: <== 这 个 是 已 安装 的 软件 群 组 





Additional Development 

Arabic Support 

Armenian Support 

Base 

.…( 中 间 省 略 )…. 

Available Groups: <== 这 个 是 疝 可 安装 的 软件 群 组 
Afrikaans Support 

Albanian Support 

Amazigh Support 

.…( 中 间 省 略 )…. 

Desktop Platform 

Desktop Platform Development 

.…( 后 面 省 略 )…. 

# 范例 五 :那么 Desktop Platform 内 含 多 少 个 RPM 软件 呢 ? 
[root@www ~]# yum groupinfo "Desktop Platform" 
Group: 桌面 环境 平台 


Description: 受 支 援 的 CentOS Linux 桌面 平台 函 式 库 。 
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Mandatory Packages: <== 主 要 的 会 被 安装 的 软件 有 这 些 


atk 


…( 中 间 省 略 )..… 

Optional Packages: <== 和 额外 可 选择 的 软件 是 这 些 
qt-mysql 

…( 底 下 省 略 )..… 

# 如 果 你 确定 要 安装 这 个 软件 群 组 的 话 ， 那 就 这 样 做 : 





[root@www ~]# yum groupinstall "Desktop Platform" 


0 
安 ， 


的 ! 


利用 这 个 『 yum groupinstall "软件 群 组 名 " 可 以 让 你 一 口气 安装 很 多 
的 软件 ， 而 


不 必 担 心 菜 个 软件 起 记 半 了! 实在 是 很 不 错 啦 一 而 且 利 用 groupinfo 的 
功能 你 也 可 以 


发 现 一 些 不 错 的 软件 数据 ， 如 此 一 来 ， 你 就 可 以 更 方便 的 管理 你 的 
Linux 系统 了 ， 人 很 


不 错 吧 ! 








全 系统 更 新 
我 们 都 知道 使 用 fyum ”update」 束 可 以 进行 软件 的 更 新 。 不 过 你 晓得 


吗 ? yum update 


也 可 以 直接 进行 同一 版 本 的 升级 喔 ! 举例 来 说 ， 你 可 以 从 6.0 升级 到 
6.1 版 本 哩 ! 而 


且 中 间 过 程 完 全 无 犹 哆 ! ”就 跟 一 般 软 件 升级 而 已 ， 并 没有 不 同 哆 ! 够 





愉快 吧 ! 
不 过 ， 如 果 你 是 想 要 从 较 旧 版 的 CentOS 5.x 升级 到 6.x 的 话 ， 那 么 可 能 


就 得 要 


多 费 些 功夫 了 。 为 喻 不 要 重 灌 比 较 快 呢 ? 因为 你 可 能 已 经 有 些 数据 设 定 
好 ， 所 以 不 想 变 


更 嘛 ! 但 老实 说 ,不同 版 本 (ex> 5.x --> 6.x) 间 的 升级 最 好 还 是 不 要 尝 
试 啦 ! 重新 


安装 可 能 是 最 好 的 状况 。 ”底下 列 出 酷 学 园 的 前 韭 提供 的 升级 方式 ， 以 
及 CentOS 官网 


直接 提供 的 升级 方式 给 你 参考 参考 : 


告 学 园 TWU2 兄 提 供 的 Red Hat 9 升级 到 CentOS 3.x 的 方法 : 





http:/phorum.study-area.org/index.php/topic,28648.html 

CentOS 官网 提供 的 CentOS 4.x 升级 到 5.x 的 方法 : 
http://ists.centos.org/pipermail/centos-announce/2007-Apri/013660.h 
tml 

CentOS 维基 百科 提供 的 CentOS 4.4 升级 到 5.1 的 方法 : 
http://wiki.centos.org/HowTos/MigrationGuide/ServerCD 4.4 to 5 
例题 : 
请 设 定 一 下 工作 排 程 ， 让 你 的 CentOS 可 以 每 天 自动 更 新 系统 
答 : 
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0 


可 以 使 用 『 crontab -e 」 来 动作 ， 也 可 以 编辑 『 vim /etc/crontab | 


来 动作 ， 由 于 这 个 更 新 是 系统 方面 的 ， 所 以 鸟 哥 习惯 使 用 vim 
/etc/crontab 来 


进行 指令 的 说 明 。 其 实 内 容 很 简单 : 

40 5 * * * root yum -y update && yum clean packages 

这 样 就 可 以 自动 更 新 了 ， 时 间 订 在 每 天 的 凌晨 5:40 。 

7.2.4 挑选 特定 的 映射 站 : 修改 yum 配置 文件 与 清除 yum 快 取 
ee 
CentOS 的 映射 站 台 可 能 会 选 错 ， 举例 来 说 ， 我 们 在 台湾 ， 但 是 CentOS 
的 映射 站 台 却 


选择 到 了 大 陆 北 京 或 者 是 日 本 去 ， 有 没有 可 能 发 生 啊 ! 有 啊 ! 乌 哥 教 
学 方面 就 常常 辰 


生 这 样 的 问题 ， 要 知道 ， 我 们 联机 到 大 陆 或 日 本 的 速度 是 非常 慢 的 呢 ! 
那 怎 办 ? 当然 


就 是 手动 的 修改 一 下 yum 的 配置 文件 就 好 哆 ! 


在 台湾 ， 乌 哥 熟 悉 的 CentOS 映射 站 台 主 要 有 昆山 科大 、 高 速 网 络 中 心 
与 关于 大 二: 


在 学 术 网 络 之 外 ， 鸟 哥 近 来 比较 偏好 高 速 网 络 中 心 ， 似 乎 更 新 的 速度 比 
较 快 ， 而 且 连 接 


台湾 学 术 网 络 也 非常 快速 哩 ! ”因此 ， 乌 哥 底 下 建议 人 台湾 的 朋友 使 用 高 
速 网 络 中 心 的 fp 


主机 资源 来 作为 yum 服务 器 来 源 喔 ! 不 过 ， 因 为 乌 哥 的 机 器 很 多 都 在 
昆山 科大 ， 所 以 














在 学 术 网 络 上 ， 使 用 的 反而 是 昆山 科大 的 FTP 哪 。 目前 高 速 网 络 中 心 
对 于 CentOS 所 


提供 的 相关 网 址 如 下 : 


http://ftp.twaren.net/Linux/CentOS/6/ 


如 果 你 连接 到 上 述 的 网 址 后 ， 就 会 发 现 里 面 有 一 堆 连 结 ， 那 些 连结 就 是 
这 个 yum 服 


务 器 所 提供 的 容器 了 ! 所 以 高 速 网 络 中 心 也 提供 了 addons，centosplus， 
extras, 


fasttrack, os, updates 等 容器 ， 最 好 认 的 容器 就 是 os (系统 默认 的 软件 ) 与 


updates (软件 升级 版 本 ) 吵 ! 由 于 乌 哥 在 我 的 测试 用 主机 是 利用 x86_64 
的 版 本 ， 


此 那个 os 再 点 进去 束 会 得 到 如 下 的 可 提供 安装 的 网 址 : 
http://ftp.twaren.net/Linux/CentOS/6/0s/x86_64/ 


为 什么 在 上 述 的 网 址 内 呢 ? 有 什么 特色 ! 最 重要 的 特色 就 是 那个 『 
repodata 」 的 


目录 ! 该 目录 就 是 分 析 RPM 软件 后 所 产生 的 软件 属性 相依 数据 放置 
处 ! 因此 ， 当 你 要 


找 容器 所 在 网 址 时 ， 最 重要 的 就 是 该 网 址 底下 一 定 要 有 个 名 为 repodata 
的 目录 存在 ! 


那 就 是 容 右 的 网 址 了 ! ”其 他 的 容 占 正确 网 址 ， 束 请 各 位 看 信 自 行 寻找 
一 下 曝 ! 现在 让 


我 们 修改 配置 文件 吧 ! 








[root@www ~]# vim /etc/yum.repos.d/CentOS-Base.repo 


[base| 


name=CentOS-$releasever - Base 
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mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch 
&Arepo=os 
#baseurl=http://mirror.centos.org/centos/$releasever/os/$basearch/ 
gpgcheck=1 

gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6 


如 上 所 示 ， 乌 哥 仅 列 出 base 这 个 容器 的 原始 内 容 而 已 ， 其 他 的 容器 内 
容 请 自行 查阅 史 ! 


上 面 的 数据 需要 注意 的 是 : 
[base|: 


代表 容器 的 名 字 ! 中 刮 号 一 定 要 存在 ， 里 面 的 名 称 则 可 以 随意 取 。 但 是 
不 能 有 两 


人 
当 案 。 





Name: 


只 是 说 明 一 下 这 个 容器 的 意义 而 已 ， 重 要 性 不 高 ! 





mirrorlist=: 


列 出 这 个 容 医 可 以 使 用 的 映 届 站 全 ， 如 果 不 想 使 用 ， 可 以 批注 到 这 行 。 
由 于 等 


下 我 们 是 直接 设 定 映 像 站 ， 因 此 这 行 符 会 儿 确 实 是 需要 批注 掉 的 喔 ! 


baseurl=: 


这 个 最 重要 ， 因 为 后 面 接 的 束 是 容器 的 实际 网 址 ! mirrorlist 是 由 yum 
程序 


0 个 容 霹 网址 ! 我 们 刚刚 
找到 的 


网 址 放 到 这 里 来 啦 ! 





enable=1: 
束 是 让 这 个 容器 被 启动 。 如 果 不 想 启动 可 以 使 用 enable=0 喔 ! 
gpgcheck=1: 


还 记得 RPM 的 数字 签名 吗 ? 这 就 是 指定 是 否 需要 查阅 RPM 档案 内 的 
数字 签名 ! 


gpg 钱 ey=: 就 是 数字 签名 的 公 铀 文件 所 在 位 置 ! 使 用 默认 值 即 可 


了 解 这 个 配置 文件 之 后 ， 接 下 来 让 我 们 修改 整个 档案 的 内 容 ， 让 我 们 这 
部 主机 可 以 


直接 使 用 高 速 网 络 中 心 的 资源 吧 ! 修改 的 方式 乌 哥 仅 列 出 base 这 个 容 
器 项 目 而 已， 


其 他 的 项 目 请 您 自行 依照 上 述 的 作法 来 处 理 即 可 ! 

















[root@www ~]# vim /etc/yum.repos.d/CentOS-Base.repo 
[base] 


name=CentOS-$releasever - Base 


baseurl=http:/ftp.twaren.neULinux/CentOS/6/os/x86_64/ <== 就 属 它 

最 重要 ! 

gpgcheck=1 
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gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6 

# 底下 其 他 的 容器 项 目 ， 请 自行 到 高速 网 络 中 心 去 查询 后 自己 处 理 ! 
[root@www ~]#yum clean all <== 改 过 配置 文件 ， 最 好 清除 既 有 清单 


接 下 来 当然 就 是 给 他 测试 一 下 哆 ! 如 何 测 试 呢 ? 再 次 使 用 yum” 即 可 
Wh! 


# 范例 : 列 出 目前 yum server 所 使 用 的 容器 有 哪些 ? 








[root@www ~]# yum repolist all 

repo id repo name status 

base CentOS-6 - Base enabled: 6,019 
c6-media CentOS-6 - Media disabled 
centosplus CentOS-6 - Plus disabled 
contrib CentOS-6 - Contrib disabled 

debug CentOS-6 - Debuginfo disabled 
extras CentOS-6 - Extras enabled: 0 
updates CentOS-6 - Updates enabled: 1,042 


repolist: 7,061 


# 在 status 上 写 enabled 才 是 有 启动 的 ! 由 于 /etc/yum.repos.d/ 
# 有 多 个 配置 文件 ， 所 以 你 会 发 现 还 有 其 他 的 容器 存在 。 

修改 容器 产生 的 问题 与 解决 之 道 
由 于 我 们 是 修改 系统 默认 的 配置 文件 ， 事 实 上 ， 我 们 应 该 要 在 


/etc/yum.repos.d/ 


底下 新 建 一 个 档案 ， 该 扩展 名 必须 是 .repo 才 行 ! 但 因为 我 们 使 用 的 是 
间 定 特定 的 映 


冉 站 台 ， 而 不 是 其 他 软件 开发 生 提 供 的 容器 ， ”因此 才 修 改 系 统 默 认 配 
置 文件 。 但 是 可 


能 由 于 使 用 的 容器 版 本 有 新 旧 之 分 ， 你 得 要 知道 ， yum 会 先 下载 容 右 
的 清单 到 本 机 的 


/Var/cache/yum 里 面 去 ! 那 我 们 修改 了 网 址 却 没 有 修改 容器 名 称 (中 刮 号 
内 的 文字 )， 


可 能 就 会 造成 本 机 的 列表 与 yum 服务 器 的 列表 不 同步 ， 此 时 就 会 出 现 
无 法 更 新 的 问题 


二 
那 怎么 办 啊 ? 很 简单 ， 融 清除 挥 本 机 上 面 的 旧 数 据 即 可 ! 需要 手动 处 理 

















的 ， 透 过 yum 的 clean 项 目 来 处 理 即 可 ! 
[root@www ~]# yum clean [packageslheaderslall] 
选项 与 参数 : 
packages: 将 已 下 载 的 软件 档案 删除 

headers : 将 下 载 的 软件 文件 头 删 除 


all : 将 所 有 容器 数据 都 删除 ! 
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# 范例 : 删除 已 下 载 过 的 所 有 容器 的 相关 数据 ( 含 软件 本 身 与 列表 ) 
[root@www ~]# yum clean all 

例题 : 

有 一 个 网 址 : 
http://free.nchc.org.tw/drbl-core/i386/RPMS.drbl-stable/ ， 里 面包 含 


吕 国家 高 速 网 络 中 心 所 发 展 的 自由 软件 。 请 依据 该 网 址 提供 的 数 
据 ， 全 


成 系统 可 以 自动 网 络 安装 的 yum 格式 。 
答 : 
由 于 http://free.nchc.org.tw/drbl-core/i386/RPMS.drbl-stable/ 


里 面 就 有 repodata/ 目录 ， 因 此 ， 这 个 网 址 可 以 直接 做 成 yum 的 容器 配 
置 文 


件 。 你 可 以 这 么 做 的 : 





[root@www ~ 1# vim /etc/yum.repos.d/drbl.repo 

[drbl] 

name=This is DRBL site 
baseurl=http://free.nchc.org.tw/drbl-core/i386/RPMS.drbl-stable/ 
enable=1 


gpgcheck=0 


[root@www ~]# yum search drbl 

Loaded plugins: fastestmirror 

Loading mirror speeds from cached hostfile 
============================== Matched: drbl 


clonezilla.i386 : Opensource Clone System (ocs), clonezilla 
drbl.i386 : DRBL (Diskless Remote Boot in Linux) package. 
drbl-chntpw.i386 : Offline NT password and registry editor 
…( 底 下 省 略 )..… 

[root@www ~]# yum repolist all 

Loaded plugins: fastestmirror 

Loading mirror speeds from cached hostfile 

repo id repo name status 

base CentOS-6 - Base enabled: 6,019 

c6-media CentOS-6 - Media disabled 

centosplus CentOS-6 - Plus disabled 

contrib CentOS-6 - Contrib disabled 

debug CentOS-6 - Debuginfo disabled 

drbl This is DRBL site enabled: 36 <== 新 

的 在 此 ! 


extras CentOS-6 - Extras enabled: 0 
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0 

名 

Updates CentOS-6 - Updates enabled: 1,042 

repolist: 7,097 

drbl 这 个 新 增 的 容器 里 面 ， 拥 有 36 个 软件 喔 ! 这 样 够 清楚 吗 ? 
7.3 限制 联机 塌 口 (port) 


为 什么 我 们 的 主机 会 啊 应 网 络 上 面 的 一 些 要 求 封 包 昵 ?例如 我 们 设 定 了 
一 部 WWW 


主机 后 ， 当 有 来 自 Internet 的 WWW 要 求 时 ， 我 们 的 主机 就 会 予以 回 


们 的 主机 有 启用 了 WWW _ 的 监听 塌 口 啊 ! 所 以 ， 当 我 们 启用 了 一 个 
daemon 时 ， 就 可 能 


会 造成 主机 的 端口 口 在 进行 监听 的 动作 ， 此 时 该 daemon 就 是 已 经 对 网 
络 上 面 提供 服务 


了 ! 万 一 这 个 daemon 程序 有 漏洞 ， 因 为 他 提供 了 Internet 的 服务 ， 所 
以 就 容易 被 


Internet 上 面 的 cracker 所 攻击 了 ! 所 以 说 ， 仔 细 的 检查 目 己 系统 上 面 的 
端口 口 到 底 


开 了 多 少 个 ， 并 且 了 予以 严格 的 管理 ， 才 能 够 降低 被 攻击 的 可 能 性 啊 ! 
7.3.1 什么 是 port 


快 讲 到 烂 掉 了 ! 当 你 局 动 一 个 网 络 服务 ， 这 个 服务 会 依据 TCP/IP 的 相 








关 通 讯 协议 


启动 一 个 起 口 在 进行 监听 ， 那 就 是 TCP/UDP 封包 的 port ( 埠 口 ) 了 。 我 
们 从 第 二 章 


也 知道 网 络 联机 是 双向 的 ， 服 务 器 端 得 要 启动 一 个 监听 的 塌 口 ，“ 客户 
端 得 要 随机 局 动 


一 个 塌 口 来 接收 啊 应 的 数据 才 行 。 那 么 服务 器 端的 服务 是 否 需 要 启动 在 
固定 的 井口 ? 


客户 端的 塌 口 是 否 又 是 固定 的 呢 ? 我 们 将 第 二 章 中 与 port 有 关 的 资料 给 
她 汇 整 一 下 


先 : 
服务 器 端 启动 的 监听 塌 口 所 对 应 的 服务 是 固定 的 : 


例如 WWW 服务 开启 在 port 80 ，FTP 服务 开启 在 port 21，email 传送 
开启 在 


port 25 等 等 ， 都 是 通讯 协议 上 面 的 规范 ! 
客户 端 启 动 程序 时 ， 随 机 启动 一 个 大 于 1024 以 上 的 塌 口 : 


客户 端 局 动 的 port 是 随机 产生 的 ， 主 要 是 开启 在 大 于 1024 以 上 的 埋 
El 


port 也 是 由 某 些 软件 所 产生 的 ， 例如 浏览 器 、Filezilla 这 个 FTP 客户 站 
程 














序 等 等 。 
一 部 服务 器 可 以 同时 提供 多 种 服务 : 


所 谓 的 『 监 听 」 是 某 个 服务 程序 会 一 直 常 驻 在 内 存 当中 ， 所 以 该 程序 启 
动 的 port 


就 会 一 直 存 在 。 只 要 服务 器 软件 激活 的 埋 口 不 同 ， 那 如 不 会 造成 冲 


突 。 当 客户 


人 ， 透 过 不 同 的 埋 口 ， 惑 可 以 取得 不 同 的 服务 数据 
嗓 。 所 以， 


一 部 主机 上 面 当然 可 以 同时 局 动 很 多 不 同 的 服务 啊 ! 
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必 
共 65536 个 port: 


由 第 二 章 的 TCP/UDP 表 头 数据 中 ， 束 知道 port 占用 16 个 位 ， 因 此 一 
般 主 机 


会 有 65536 个 port， 而 这 些 port 又 分 成 两 个 部 分 ， 以 port 1024 作 区 
隔 : 


o 只 有 root 才能 局 动 的 保留 的 port: 
在 小 于 1024 的 埠 口 ， 都 是 需要 以 root 的 身份 才能 启动 的 ， 这 些 port 
主要 是 用 于 一 些 常见 的 通讯 服务 ， 在 Linux 系统 下 ， 常 见 的 协议 与 port 
的 对 应 是 记录 在 /etc/services 里 面 的 。 
o 大 于 1024 用 于 client 端的 port: 
在 大 于 1024 以 上 的 port 主要 是 作为 client 端的 软件 激活 的 port 。 

是 否 需 要 三 向 交 握 : 


0 务 需 要 使 用 到 TCP 协议 ， 也 就 需要 所 谓 的 三 问 交 握 
0 果 


是 非 面 向 连接 的 服务 ， 例 如 DNS 与 视讯 系统 ， 那 只 要 使 用 UDP 协议 
印 可 。 














通讯 协议 可 以 启用 在 非 正 规 的 port: 


我 们 知道 浏览 器 默认 会 连接 到 WWW 主机 的 port 80， 那 么 你 的 WWW 
是 否 可 以 启 


动 在 非 80 的 其 他 坦 口 ? 当然 可 以 啊 ! 你 可 以 透 过 WWW 软件 的 设 定 功 
能 将 该 软 


port 启动 在 非 正 规 的 井口 ， 只 是 如 此 一 来 ， 您 的 客户 端 要 连 
过 到 你 


的 主机 时 ， 就 得 要 在 浏览 器 的 地 方 额外 指定 你 所 局 用 的 非 正 规 的 埋 口 才 
行 。 这 


ME es 口 功能 ， 常 常 被 用 在 一 些 所 谓 的 地 下 网 站 啦 ! 
人 人。 另外 ， 


某 些 软件 默认 就 启动 在 大 于 1024 以 上 的 端口 口 ， 如 MySQL 数据 库 软 
件 就 启动 


在 3306。 
所 谓 的 port 的 安全 性 : 
事实 上 ， 没有 所 谓 的 port 的 安全 性 ! 因为 『Port 的 启用 是 由 服务 软件 所 


造成 


的 ] ， 也 就 是 说 ， 真 正 影 啊 网 络 安全 的 并 不 是 port ， 而 是 局 动 port 的 
那个 


(程序 )! 或 许 你 偶而 会 听 到 : 『 没 有 修补 过 漏洞 的 bind 8.x 版 ， 很 
容 








被 黑客 所 入 侵 ， 请 尽快 升级 到 bind 9.x 以 后 版 本 | ， 所 以 喝 ， 对 安全 真 
正 有 人 危 


寺 的 是 『 某 些 不 安全 的 服务 】 而 不 是 『 开 了 哪些 por 1 才 是 ! 因此 ， 
没有 必 


要 的 服务 就 将 他 关闭 吧 ! 尤其 菜 些 网 络 服务 还 会 启动 一 些 port 哩 ! 为 
外 ， 那 


些 已 司 动 的 软件 也 需要 持续 的 保持 更 新 喔 ! 
7.3.2 埋 口 的 观察 : netstat, nmap 


好 了 ， 我 们 现在 知道 这 个 port 是 什么 儿 东 西 了 ， 再 来 就 是 要 来 了 解 一 
下 ， 我 们 的 


主机 到 底 是 开 了 多 少 的 port 呢 ? 由 于 port 的 启动 与 服务 有 关 ， 那 么 
[服务 」 跟 


[ port 」 对 应 的 档案 是 哪 一 个 ? 再 提醒 一 次 哟 ! 是 『 /etc/services | 
啦 ! 而 常用 


来 观察 port 的 则 有 底下 两 个 程序 : 
netstat: 在 本 机 上 面 以 自己 的 程序 监测 自己 的 port; 
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nmap: 透 过 网 络 的 侦 测 软件 辅助 ， 可 侦 测 非 本 机 上 的 其 他 网 络 主 
机 ， 但 有 违 


法 之 虞 。 


见 他 的 大 头 王 ! 怎么 使 用 nmap 会 违法 ?由 于 nmap 的 功能 太 强 大 了 ， 
所 以 很 多 


cracker 会 直接 以 他 来 侦 测 别 人 的 主机 ， 这 个 时 候 就 可 能 造成 违法 啦 ! 只 
要 你 使 用 nmap 


的 时 候 不 要 去 侦 测 别人 的 计算 机 主机 ， 那 么 就 不 会 有 问题 啦 ! 底下 我 们 
分 别 来 说 一 说 这 


两 个 宝贝 吧 ! 


netstat 


在 做 为 服务 器 的 Linux 系统 中 ， 开 启 的 网 络 服务 越 少 越 好 ! 因为 较 少 的 
服务 可 以 


较 容 易 除 错 (debug) 与 了 解 安 全 漏洞 ， 并 可 避免 不 必要 的 入 侵 管 道 ! 所 
以 ， 这 个 时 候 


请 了 解 一 下 您 的 系统 当中 有 没有 哪些 服务 被 开局 了 呢 ? ”要 了 解 自己 的 
系统 当中 的 服务 


项 目 ， 最 简便 的 方法 就 是 使 用 netstat 了 ! 这 个 东西 不 但 简单 ， 而 且 功 能 
也 是 很 不 错 


的 。 这 个 指令 的 使 用 方法 在 
了 ， 确 下 我 们 仅 


提供 如 何 使 用 这 个 工具 的 方法 哆 ! 
0 列 出 在 监听 的 网 络 服务 : 














[root@www ~]# netstat -tunl 

ctive Internet connections (only servers) 

Proto Recv-Q Send-Q Local Address Foreign Address State 

tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 

tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 

tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 

.…( 底 下 省 略 ).…. 

上 面 说 明了 我 的 主机 至 少 有 启动 port 111, 22, 25 等 ， 而 且 观 察 各 联机 接 


可 发 现 25 为 TCP 塌 口 ， 但 只 针对 lo 内 部 循环 测试 网 络 提供 服务 ， 因 特 
网 是 


连 不 到 该 塌 口 的 。 至 于 port 22 则 有 提供 因特网 的 联机 功能 。 
0 列 出 已 联机 的 网 络 联机 状态 : 

[root@www ~ ]# netstat -tun 

Active Internet connections (W/O servers) 

Proto Recv-Q Send-Q Local Address Foreign Address State 

tcp 0 52 192.168.1.100:22 192.168.1.101:2162 
ESTABLISHED 
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从 上 面 的 数据 来 看 ， 我 的 本 地 端 服务 器 (Local Address，192.168.1.100) 
目前 


仅 有 一 条 已 建立 的 联机 ， 那 就 是 与 “192.168.1.101 ” 那 部 主机 连接 的 联 
机 ， 并 且 


联机 方 线 是 由 对 方 连接 到 我 主机 的 port 22 来 取 用 我 服务 器 的 服务 响 ! 
o 删除 已 建立 或 在 监听 当中 的 联机 : 


如 果 想 要 将 已 经 建立 ， 或 者 是 正在 监听 当中 的 网 络 服务 关闭 的 话 ， 最 简 
单 的 方法 


当然 就 是 找 出 该 联机 的 PID， 然后 将 他 kill 掉 即 可 啊 ! 例如 下 面 的 范 
例 : 








[root@www ~|]# netstat -tunp 
Active Internet connections (W/O servers) 
Proto Recv-Q Send-Q Local Address Foreign Address State 


PID/P name 


tcp 0 52 192.168.1.100:22 192.168.1.101:2162 ESTABLISHED 
1342/0 


如 上 面 的 范例 ， 我 们 可 以 找 出 来 该 联机 是 由 sshd 这 个 程序 来 启用 的 ， 
并 且 他 的 


PID 是 1342， 希望 你 不 要 心急 的 用 _killall 这 个 指令 ， 否 则 容易 删 错 人 
( 因 


为 你 的 主机 里 面 可 能 会 有 多 个 sshd 存在 )， 应 该 要 使 用 kill 这 个 指令 才 
对 喔 ! 


[root@www ~]# kil]l -9 1342 








nmap 


a A 那 该 怎么 办 ? 举 
例 来 说 ， 你 


想 要 了 解 一 下 公司 的 网 络 打印 机 是 否 有 开放 茶 些 协议 时 ，“” 那 该 如 何 处 
理 啊 ? 现在 你 知 


道 _netstat 可 以 用 来 查阅 本 机 上 面 的 许多 监听 中 的 通讯 协议 ， 那 例如 网 
络 打印 机 这 样 


的 非 本 机 的 设备 ， 要 如 何 碍 询 啊 ? 呵呵 ! 用 nmap 就 对 了 ! 


nmap ( 注 1) 的 软件 说 明之 名 称 为 : 『Network exploration tool and security 
/ 


port scanner」， 顾 名 思 义 ， 这 个 东西 是 被 系统 管理 员 用 来 管理 系统 安全 
性 查核 的 工 


具 ! 他 的 具体 描述 当中 也 提 到 了 ， nmap 可 以 经 由 程序 内 部 自行 定义 的 
几 个 port 对 应 


的 指纹 数据 ， 来 查 出 该 port 的 服务 为 何 ， 所 以 我 们 也 可 以 系 此 了 人 解 我 们 
主机 的 port 





到 底 是 王 嘛 用 的 ! 在 CentOS 里 头 是 有 提供 nmap 的 ， 如 果 你 没有 安 
装 ， 那 么 束 使 用 


yum 去 安装 他 吧 ! 

[root@www ~]# nmap [ 扫 瞄 类 型 ] [ 扫 瞄 参数 ] [hosts 地 址 与 范围 
选项 与 参数 : 

[ 扫 瞄 类 型 ]， 主 要 的 扫 瞄 类 型 有 底下 几 种 : 

-sST: 扫 瞄 TCP 封包 已 建立 的 联机 connect() ! 

-SS: 扫 瞄 TCP 封包 高 有 SYN 卷 标的 数据 
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-SP: 以 ping 的 方式 进行 扫 瞄 

-SU: 以 UDP 的 封包 格式 进行 扫 瞄 

-sO: 以 IP 的 协议 (protocol) 进行 主机 的 扫 瞄 

[ 扫 瞄 参数 ]， 主 要 的 扫 瞄 参数 有 几 种 : 

-PT: 使 用 TCP 里 头 的 ping 的 方式 来 进行 扫 瞄 ， 可 以 获知 目前 有 几 部 计 
算 机 存活 ( 较 常 用 ) 

-PI: 使 用 实际 的 ping ( 带 有 ICMP 封包 的 ) 来 进行 扫 瞄 

-p : 这 个 是 port range ， 例 如 1024-, 80-1023, 30000-60000 等 等 的 
使 用 方式 

[Hosts 地 址 与 范围 ]: 这 个 有 趣 多 了 ， 有 几 种 类 似 的 类 型 
192.168.1.100 : 直接 写 入 HOST IP 而 已 ， 仅 检查 一 部 ; 





192.168.1.0/24 : 为 C Class 的 型 态 ， 


192.168.*.* : 嘿嘿 ! 则 变 为 B Class 的 型 态 了 ! 扫 瞄 的 范围 变 广 了 ! 
192.168.1.0-50,60-100,103,200 : 

这 种 是 变形 的 主机 范围 啦 ! 

很 好 用 吧 ! 

# 范例 一 : 使 用 预 设 参 数 扫 瞄 本 机 所 局 用 的 port (只 会 扫 瞄 TCP) 
[root@www ~]# yum install nmap 

[root@www ~]# nmap localhost 

PORT STATE SERVICE 

22/tcp open ssh 

25/tcp open smtp 

111/tcp open rpcbind 

# 在 预 设 的 情况 下 ，nmap 仅 会 扫 脑 TCP 的 协议 喔 ! 


nmap 的 用 法 很 简单 响 ! 就 卫 接 在 指令 后 面 接 上 IP 或 者 是 主机 名 即 可 。 
不 过 ， 在 预 设 


的 情况 下 nmap 仅 会 帮 你 分 析 TCP 这 个 通讯 协议 而 已 ， 像 上 面 这 个 例子 
的 输出 结 


但 优点 是 顺道 也 将 开局 该 塌 口 的 服务 也 列 出 来 了 ， 真是 好 ! 人 和 人 人! 那 如 


果 想 要 同时 分 
析 TCP/UDP 这 两 个 常见 的 通讯 协议 呢 ? 可 以 这 样 做 : 
# 范例 二 : 同时 扫 瞄 本 机 的 TCP/UDP 埋 口 





[root@www ~]# nmap -sTU localhost 


PORT STATE SERVICE 

22/tcp open ssh 

25/tcp open Smtp 

111/tcp open rpcbind 

111/udp open rpcbind <== 会 多 出 UDP 的 通讯 协议 埋 口 ! 


嘿嘿 ! 与 前 面 的 范例 比较 一 下 ， 你 会 发 现 这 次 多 了 几 个 UDP 的 埋 口 ， 
这 样 分 析 好 多 了 ! 


然后 ， “如 果 你 想 要 了 解 一 下 到 确 有 几 部 主机 活 在 你 的 网 络 当中 时 ， 则 
可 以 这 样 做 : 


# 范例 三 : 透 过 ICMP 封包 的 检测 ， 分 析 区 网 内 有 几 部 主机 是 启动 的 


[root@www ~]# nmap -SP 192.168.1.0/24 
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0 

Starting Nmap 5.21 (http:/nmap.org ) at 2011-07-20 17:05 CST 

Nmap scan report for www.centos.vbird (192.168.1.100) 

Host is up. 

Nmap scan report for 192.168.1.101 <== 这 三 行 讲 的 是 192.168.101 的 范 
例 ! 

Host is up (0.00024s latency). 

MAC Address: 00:1B:FC:58:9A:BB (Asustek Computer) 


Nmap scan report for 192.168.1.254 


Host is up (0.00026s latency). 
MAC Address: 00:0C:6E:85:D5:69 (Asustek Computer) 


Nmap done: 256 IP addresses (3 hosts up) scanned in 3.81 seconds 


看 到 否 ? 乌 哥 的 环境 当中 有 三 部 主机 活着 响 (Host is up)! 并 且 该 卫 所 
对 应 的 MAC 


也 会 被 记录 下 来 ， 很 不 错 吧 ! 如 果 你 还 想 要 将 各 个 主机 的 局 动 的 port 
作 一 番 侦 测 的 


话 ， 那 就 得 要 使 用 : 
[root@www ~]# nmap 192.168.1.0/24 


之 后 你 就 会 看 到 一 堆 port number 被 输出 到 屏幕 上 呢 一 如 果 想 要 随时 记 
录 整 个 网 段 的 


主机 是 个 不 小 心 开放 了 菏 些 服务 ， 嘿嘿 ! 利用 nmap 配合 数据 流 重 导 疝 


C, >> 等 ) 来 


输出 成 为 档案 ，” 那 随时 可 以 掌握 住 您 局 域 网 络 内 每 部 主机 的 服务 启动 
状况 啊 ! 和 和 


请 特别 留意 ， 这 个 nmap 的 功能 相当 的 强大 ， 也 是 因为 如 此 ， 所 以 很 多 
刚 在 练习 的 


黑客 会 使 用 这 个 软件 来 侦 测 别人 的 计算 机 。 ”这 个 时 候 请 您 特别 留意 ， 
目前 很 多 的 人 已 


经 都 有 特别 的 方式 」 来 进行 登录 的 工作 ! 例如 以 TCP_Wrappers 
(/etc/hosts.allow, 


/etc/hosts.deny) 的 功能 来 记录 曾经 侦 测 过 该 port 的 IP! 这 个 软件 用 来 
『 侦 测 上 自 


己 机 器 的 安全 性 」 是 很 不 错 的 一 个 工具 ， 但 是 如 果 用 来 侦 测 别人 的 主 
机 ， 可 是 会 『 吃 











上 官司 」 的 ! 特别 留意 ! ! 

7.3.3 埋 口 与 服务 的 启动 /关闭 及 开机 时 状态 设 定 

i 其 实 port 是 由 执行 条 些 软件 之 后 说 软件 激 
活 的 。 





以 要 关闭 东 些 port 时 ， 那 就 直接 将 茶 个 程序 给 他 关闭 就 是 了 ! 关闭 的 方 
法 你 当然 可 以 





kill 这 个 指令 通常 具 


有 强制 关闭 


某 些 程序 的 功能 ， 但 我 们 想 要 正常 的 关闭 该 程序 啊 ! ”所 以 ， 束 利用 系 
统 给 我 们 的 script 


来 关闭 就 好 了 啊 。 ”在 此 同时 ， 我 们 就 得 再 来 稍微 复习 一 下 ， 一 般 传 统 
的 服务 有 哪 几 种 


类 型 ? 
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stand alone 与 super daemon 


我 们 在 基础 学 习 篇 内 谈 到 ， 在 一 般 正 常 的 Linux 系统 环境 下 ， 服 务 的 局 
到 与 党 理 


主要 有 两 种 方式 : 





Stand alone 


。 stand alone 就 是 直接 执行 该 服务 的 执行 档 ， 让 该 执行 文件 直 
交加 载 


ee 中 运作 ， ”用 这 种 方式 来 启动 可 以 让 该 服务 具有 较 快速 响应 的 











般 来 说 ， 这 种 服务 的 启动 script 都 会 放置 到 /etc/init.d/ 这 个 目录 底下 ， 


所 
以 你 通常 可 以 使 用 : 『 /etc/init.d/sshd restart 」 之 类 的 方式 来 重新 启动 这 
种 服务 ; 








Super daemon 


0 来 统一 管理 某 些 特殊 的 服务 。 在 CentOS 6.x 
里 


用 的 则 是 xinetd 这 个 super daemon 啊 ! 这 种 方式 启动 的 网 络 服务 虽然 在 
响应 


上 速度 会 比较 慢 ， 不 过 ， 可 以 透 过 super daemon 额外 提供 一 些 控 管 ， 
例如 控 


ee 何 时 可 以 进行 联机 、 那个 卫 可 以 连 进 来 、 是 否 允 许 同时 
联机 等 


和 等。 通常 个 别 服务 的 配置 文件 放置 在 /etc/xinetd.d/ 当中 ， 但 设 定 完毕 后 


后 如 
需要 

















重新 以 『 /etc/init.d/xinetd restart 」 重新 来 启动 才 行 ! 





好 ， 那 么 如 果 我 想 要 将 我 系统 上 面 的 port 111 关 掉 的 话 ， 那 应 该 如 何 关 
闭 呢 ? 最 简 


单 的 作法 就 是 先 找 出 那个 port 111 的 局 动 程序 喔 ! 
[root@www ~]# netstat -tnlp | grep 111 
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 


990/rpcbind 


tcp 00:::111 :::* LISTEN 

990/rpcbind 

# 原来 用 的 是 rpcbind 这 个 服务 程序 ! 
[root@www ~I# which rpcbind 
/sbin/rpcbind 

# 找到 档案 后 ， 再 以 rpm 处 理 处 理 
[root@www ~]# rpm -gf /sbin/rpcbind 
rpcbind-0.2.0-8.el6.x86_64 

# 找 到 了 ! 就 是 这 个 软件 ! 所 以 将 他 关闭 的 方法 可 能 就 是 : 
[root@www ~]#rpm -qc rpcbind | grep init 
/etc/rc.d/init.d/rpcbind 

[root@www ~ 1]# /etc/init.d/rpcbind stop 
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透 过 上 面 的 这 个 分 析 的 流程 ， 你 可 以 利用 系统 提供 的 很 多 方便 的 工具 来 
达成 某 个 服务 的 


关闭 ! 为 啥 这 么 麻烦 ? 不 是 利用 kill -9 990 就 可 以 删 掉 该 服务 了 吗 ? 是 
没 错 啦 ! 


不 过 ， 你 知道 该 服务 是 做 喻 用 的 吗 ? 你 知道 将 他 关闭 之 后 ， 你 的 系统 会 
出 什么 问题 吗 ? 


如 果 不 知道 的 话 ， 那 么 利用 上 面 的 流程 不 就 可 以 找 出 该 服务 软件 ， 再 利 
用 rpm 查询 功 


能 ， ”不 束 能 够 知道 该 服务 的 作用 了 ? 所 以 说 ， 这 个 方式 还 是 对 您 会 有 
帮助 的 啦 ! 底下 


请 您 试 着 将 您 CentOS 或 者 是 其 他 版 本 的 Linux 的 Telnet 打开 试看 看 。 
例题 : 

我 们 知道 系统 的 Telnet 服务 通常 是 以 super daemon 来 控 管 的 ， 请 您 局 
动 您 系统 的 telnet 试看 看 。 


答 -. 


II 。 





1. 要 启动 telnet 首先 必须 要 已 经 安装 了 telnet 的 服务 器 才 行 ， 所 
以 请 先 以 rpm 查询 看 看 是 否 有 安装 telnet-server 呢 ? [rpm -qa | 
grep telnet-serverj 如 果 没 有 安装 的 话 ， 请 利用 原版 光盘 来 安装 ， 或 
者 使 用 『yum install telnet-server」 安装 一 下 先 ; 

2. 由 于 是 super daemon 控 管 ， 所 以 请 编辑 /etc/xinetd.d/telnet 


这 个 档案 ， 将 其 中 的 『disable = yes」 改 成 『disable =no」 之 后 以 














『/etc/init.d/xinetd restart」 重新 启动 super daemon 吧 ! 
3. 利用 netstat -tnlp 察看 是 否 有 启动 port 23 呢 ? 
预 设 启动 的 服务 


刚刚 上 头 的 作法 仅 是 『 立 即将 该 服务 启动 或 关闭 」 喔 ! 并 不 会 影响 到 下 
次 开机 时 ， 


这 个 服务 是 否 预 设 局 动 的 情况 。 “如 宁 你 想 要 在 开机 的 时 候 就 司 动 或 不 
局 动作 项 服务 时 ， 














下 天 
Unix like 的 系 





统 当 中 我 们 都 是 透 过 run level 来 设 定 某 些 执行 等 级 需要 局 动 的 服务 ， 以 
Red Hat 系 


统 来 说 ， 这 些 run level 启动 的 数据 都 是 放置 在 /etc/rc.d/rc[0-6].d/ 里 面 
的 ， 那 


:0 script 呢 ? 手动 处 理 吗 ? 会 疯 掉 的 响 ! 所 以 你 必须 


要 就 
chkconfig 或 Red Hat 系统 的 ntsysv 这 几 个 指令 才 行 ! 

Tips: 

这 几 个 指令 不 熟 吗 ?这 个 时 候鸟 哥 不 得 不 说 了 : 『 有 man 堪 用 直 需 
用 ， 葛 待 无 man 空 自 猜 上 」 赶紧 给 他 man 下 去 啦 ! 

例题 : 


(1) 如 何 查 阅 rpcbind 这 个 程序 一 开机 束 执 行 ? (2) 如果 开 机 束 执 行 ， 如 
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何 将 他 改 为 开机 时 不 要 启动 ? (3) 如 何 立即 关闭 这 个 rpcbind 服务 ? 
管 :; 

1. 可 以 透 过 『 chkconfig --list | grep rpcbind 」 与 『 runlevel ] 
确认 一 下 你 的 环境 与 pcbind 是 否 局 动 ? 

2. 如 果 有 启动 ， 可 透 过 『 chkconfig --level 35 rpcbind off 」 来 

设 定 开机 时 不 要 启动 ; 

3. 可 以 透 过 『 /etc/init.d/rpcbind stop 」 来 立即 关闭 他 ! 


聪明 的 你 一 定 会 问 说 : 『 鸟 哥 ， 你 的 意思 是 只 要 将 系统 所 有 的 服务 都 关 
闭 ， 那 系统 就 会 


安全 吃 ? 」 当然 … 不 是 ! 因为 『 很 多 的 系统 服务 是 必须 要 存在 的 ， 否 
则 系统 将 会 出 


问题 」 举例 来 说 ， 那 个 保持 系统 可 以 具有 工作 排 程 的 crond 服务 就 一 定 
要 存在 ， 而 那 


个 记录 系统 状况 的 _rsyslogd_ 也 当然 要 存在 一 否则 怎 知道 系统 出 了 啥 问 
题 ? 所 以 吃 ， 除 


非 你 知道 每 个 服务 的 目的 是 啥 ， 否 则 不 要 随便 关闭 该 服务 。 底下 乌 哥 
列 出 几 个 第 见 的 


必须 要 存在 的 系统 服务 给 大 家 参考 参考 先 ! 这 些 服务 请 不 要 关闭 啊 ! 
服务 名 称 
服务 内 容 
新 版 的 电源 管理 模块 ， 通 常 建 议 开局 ， 不 过 ， 茶 些 笔记 本 电脑 可 能 








acpid 
不 支持 此 项 服务 ， 那 就 得 关闭 
atd 


在 管理 单一 预约 命令 执行 的 服务 ， 应 该 要 局 动 的 
crond 

在 管理 工作 排 程 的 重要 服务 ， 请 务必 要 局 动 啊 ! 
haldaemon 


作 系 统 人 硬件 变更 侦 测 的 服务 ， 与 USB 设备 关系 很 大 


iptables 

Linux 内 建 的 防火 墙 软件 ， 这 个 也 可 以 启动 啦 ! 
network 

这 个 重要 了 吧 ? 要 网 络 就 要 有 他 啊 ! 

postfix 

系统 内 部 邮件 传递 服务 ， 不 要 随便 关闭 他 ! 
rsyslog 

系统 的 登录 文件 记录 ， 很 重要 的 ， 务 必 局 动 啊 ! 
这 是 系统 默认 会 启动 的 ， 可 以 让 你 在 远程 以 文字 型 态 的 终端 机 登入 
sshd 

喔 ! 





Xinetd 
就 是 那个 super daemon 啤 ! 所 以 也 要 局 动 啦 ! 


上 面 列 出 的 是 主机 需要 的 重点 服务 ， 请 您 不 要 关闭 他 ! 除非 你 知道 作 了 
之 后 会 有 什么 后 


果 。 举 例 来 说 ， 你 如 果 不 需 要 管理 电源 ， 那么 将 acpid 关闭 也 没有 关系 
啊 ! 如 果 你 不 


需要 提供 远程 联机 功能 ， 那 么 sshd 也 可 以 关闭 啊 ! 那 其 他 你 不 知道 的 
服务 怎 办 ? 没 


关系 ， 只 要 不 是 网 络 服务 ， 你 都 可 以 保留 他 ! 如 果 是 网 络 服务 呢 ? 那 … 
乌 哥 建议 你 不 


知道 的 服务 就 先天 财 他 ! ”以 后 我 们 谈 到 每 个 相关 的 服务 时 ， 再 一 个 一 





个 打开 即 可 。 底 

下 我 们 就 来 做 作 看 关闭 网 络 服务 这 个 部 分 ! 
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必 

7.3.4 安全 性 考虑 -关闭 网 络 服务 端口 口 

我 们 的 Linux distribution 很 好 心 的 帮 使 用 者 想到 很 多 了 ， 所 以 在 一 安装 


Pe » 
完毕 之 


后 ， 系统 会 开局 一 堆 有 的 没有 的 网 络 服务 ， 例 如 那个 rpcbind 之 类 的 吃 
噬 ， 这 些 东 西 


你 或 许 知道 或 许 不 知道 ， 不 过 他 就 是 有 开局 一 ”但 我 们 的 主机 明明 就 是 
用 来 做 为 服务 器 


的 ， 所 以 这 些 本 来 预计 要 给 client 使 用 的 服务 其 实 有 点 『 多 此 一 举 」 的 
感觉 一 所 以 


啦 ， 请 你 将 他 关闭 吧 ! 撒 下 我 们 举 个 简单 的 例子 来 处 理 ， 将 你 的 网 络 服 
务 关 闭 束 好 ， 其 


他 在 系统 内 部 的 服务 ， 就 暂时 保留 吧 ! 

例题 : 

找 出 目前 系统 上 面 正在 运作 中 的 服务 ， 并 且 找 到 相对 应 的 启动 脚本 (在 
/etc/init.d 内 的 档 名 之 意 )。 


人 。 
Er 


要 找 出 服务 ， 就 利用 netstat -tunlp 即 可 找到 ! 以 鸟 哥 从 第 一 章 安 装 的 
示范 机 为 例 ， 马 哥 目 前 局 动 的 网 络 服务 有 底下 这 些 : 


[root@www ~|]# netstat -tlunp 

Active Internet connections (only servers) 
Proto Local Address State PID/Program name 
tcp 0.0.0.0:22 LISTEN 1176/sshd 

tcp 127.0.0.1:25 LISTEN 1252/master 

tcp 0.0.0.0:37753 LISTEN 1008/rpc.statd 

tcp :::22 LISTEN 1176/sshd 

tcp :::23 LISTEN 1851/xinetd 

tcp ::1:25 LISTEN 1252/master 

tcp :::38149 LISTEN 1008/rpc.statd 

tcp 0.0.0.0:111 LISTEN 1873/rpcbind 

tcp 0 :::111 LISTEN 1873/rpcbind 

udp 0 0.0.0.0:111 1873/rpcbind 

udp 0 0.0.0.0:776 1873/rpcbind 

udp 0 :::111 1873/rpcbind 

udp 0 :::776 1873/rpcbind 

udp 0.0.0.0:760 1008/rpc.statd 

udp 0.0.0.0:52525 1008/rpc.statd 

udp :::52343 1008/rpc.statd 

# 上 述 的 输出 乌 哥 有 稍微 简化 一 些 嗓 ， 所 以 有 些 字段 不 见 了 。 








# 这 个 重点 只 是 要 展现 出 最 后 一 个 字段 而 已 啦 ! 
看 起 来 总 共有 sshd, master, rpc.statd, xinetd, rpcbind 等 这 几 个 服务 ， 


对 照 前 一 小 太 的 数据 内 容 来 看 ， master (port 25), sshd 不 能 关 掉 ， 那 么 


全 





透 过 前 两 个 小 节 的 介绍 ， 使 用 which 与 rpm 搜寻 
吧 ! 站 


例 来 说 ， rpc.statd 的 启动 脚本 在 : 

[rpm -qc $(rpm -gf $(which rpc.statd) ) 
| grep init」 这样 找 ， 结 果 是 在 『/etc/rc.d/init.d/nfslock」 这 里 ! 因此 
最 终 的 结果 如 下 : 
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0 


rpc.statd /etc/rc.d/init.d/nfs 

/etc/rc.d/init.d/nfslock 

/etc/rc.d/init.d/rpcgssd 

/etc/rc.d/init.d/rpcidmapd 

/etc/rc.d/init.d/rpcsvcgssd 

Xinetd /etc/rc.d/init.d/xinetd 

rpcbind /etc/rc.d/init.d/rpcbind 

接 下 来 束 是 将 该 服务 关闭， 并 且 设 定 为 开机 不 局 动 吧 ! 


[root@www ~]# vim bin/closedaemon.sh 


for daemon in nfs nfslock rpcgssd rpcidmapd rpcsvcgssd xinetd 
rpcbind 

do 

chkconfig $daemon off 

/etc/init.d/$daemon stop 

done 

[root@www ~]# sh bin/closedaemon.sh 


做 完 上 面 的 例子 之 后 ， 你 再 次 下 达 netstat -tlunp 之 后 ， 会 得 到 仅 剩 port 
25, 22 而 


己 ! ”如 此 一 来 ， 绝 大 部 分 服务 器 用 不 到 的 服务 束 被 你 关闭 ， 而 且 即 使 
重新 局 动 也 不 会 


被 启动 的 啦 ! 人 和信 
7.4 SELinux 管理 原则 


SELinux 使 用 所 谓 的 委任 式 访 问 控制 (Mandatory Access Control MAC) 
他 可 


以 针对 特定 的 程序 与 特定 的 档案 资源 来 进行 权限 的 控 管 ! ”也 就 是 说 ， 
即使 你 是 root ， 


那么 在 使 用 不 同 的 程序 时 ， 你 所 能 取得 的 权限 并 不 一 定 是 root ， 而 得 要 
看 当时 该 程序 
的 设 定 而 定 。 “如 此 一 来 ， 我 们 针对 控制 的 『 主 体 上 变 成 了 『 程 序 」 而 
不 是 『 使 用 者 1] 


喔 ! 因此 ， 这 个 权限 的 管理 模式 就 特别 适合 网 络 服务 的 『 程 序 | 了 ! 
因为 ， 即 使 你 的 





程序 使 用 root 的 里 份 去 启动， 如 果 这 个 程序 被 攻击 而 被 取得 操作 权 ， 那 
该 程序 能 作 的 


事情 还 是 有 限 的 ， 因为 被 SELinux 限制 住 了 能 进行 的 工作 了 嘛 ! 


举例 来 说 ， WWW 服务 器 软件 的 达成 程序 为 httpd 这 文 程序 ， 而 默认 情 
况 下 ， 


httpd 仅 能 在 /varwww/ 这 个 目录 底下 存 取 档 案 ， 如 果 httpd 这 个 程序 想 
要 到 其 他 目 


录 去 存 取 数据 时 ， 除 了 规则 设 定 要 开放 外 ， 目 标 目 录 也 得 要 设 定 成 
httpd 可 读 取 的 模 


(ope) 才 行 喔 ! 限制 非常 多 ! 所 以 ， 即 使 不 小 心 httpd 被 cracker 取得 
了 控制 


权 ， 他 也 无 权 浏 览 /etc/shadow 等 重要 的 配置 文件 喔 ! 
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7.4.1 SELinux 的 运作 模式 


再 次 的 重复 说 明 一 下 ，SELinux 是 透 过 MAC 的 方式 来 控 管 程序 ， 他 控 
制 的 主体 是 


程序 ， ”而 目标 则 是 该 程序 能 舍 读 取 的 『 档 案 资 源 ]! 所 以 先 来 说 明 一 
下 这 些 噬 吃 的 相 


关 性 啦 ! 
主体 (Subject): 


SELinux 主要 想 要 管理 的 就 是 程序 ， 因 此 你 可 以 将 『 主 体 」 跟 本 章 谈 到 
的 process 


划 上 等 号 ; 








目标 (Objectb: 


主体 程序 能 人 否 存 取 的 『 目 标 资源 」 一 般 就 是 文件 系统 。 因 此 这 个 目标 项 
目 可 以 等 


文件 系统 划 上 等 号 ; 
政策 (Policy): 


因此 SELinux 会 依据 某 些 服务 来 制订 基本 的 
子 取 安 


侈 性 政策 。 这 些 政策 内 还 会 有 详细 的 规则 (rule) 来 指定 不 同 的 服务 开放 


人 在 目前 的 CentOS 6.x 里 面 仅 有 提供 两 个 主要 的 政策 如 
本 


来 说 ， 使 用 预 设 的 target 政策 即 可 。 
otargeted: 针对 网 络 服务 限制 较 多 ， 针 对 本 机 限制 较 少 ， 是 预 设 的 政 
策 ; 
omls: 完整 的 SELinux 限制 ， 限 制 方面 较为 严格 。 
安全 性 本 文 (security contex0): 
我 们 刚刚 谈 到 了 主体 、 目 标 与 政策 面 ， 但 是 主体 能 不 能 存 取 目标 除了 要 


符合 政策 


指定 之 外 ， 主 体 与 目标 的 安全 性 本 文 必 须 一 致 才能 够 顺利 存 取 。 ”这 个 
安全 性 本 











文 (security context) 有 点 类 似 文件 系统 的 rwx 啦 ! 安全 性 本 文 的 内 容 与 
设 

i 如 果 设 定 错误 ， 你 的 某 些 服务 (主体 程序 ) 就 无 法 存 取 
文 pa 


统 (目标 资源 )， 当 然 就 会 一 直 出 现 『 权 限 不 符 上 的 错误 讯 县 了 ! 
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日 标 (Object) 








i 9 他 下 9 
各 本 条 


拒 和 看 Pp 
Rule2 


息 襄 明 


Rule3 








图 7.4-1、SELinux 运作 的 各 组 件 之 相关 性 (本 图 参考 小 州 老师 的 上 课 讲 
义 ) 


上 图 的 重点 在 『 主 体 上 如 何 取得 『 目 标 」 的 资源 访问 权限 ! ”由 上 图 我 
们 可 以 发 现 ， 


(1) 主 体 程序 必须 要 通过 SELinux 政策 内 的 规则 放行 后 ， 就 可 以 与 目标 
资源 进行 安全 性 


本 文 的 比 对 ， (2) 若 比 对 失败 则 无 法 存 取 目标 ， 若 比 对 成 功 则 可 以 开始 
存 取 目标 。 问 题 


是 ， 最 终 能 否 存 取 目标 还 是 与 文件 系统 的 rwx 权限 设 定 有 关 喔 ! 如 此 一 
来 ， 


SELinux 之 后 ， 出 现 权限 不 符 的 情况 时 ， 你 就 得 要 一 步 一 步 的 分 析 可 能 
的 问题 了 ! 


安全 性 本 文 (Security Context) 


CentOS 6.x 的 target 政策 已 经 帮 有 我 们 制订 好 非常 多 的 规则 了 ， 因 此 你 只 
要 知道 


如 何 开启 /关闭 某 项 规则 的 放行 与 否 即 可 。 那个 安全 性 本 文 比较 麻烦 ! 




















归 
目 行 配 置 文件 案 的 安全 性 本 文 呢 ! 为 何 需要 上 自行 设 定 啊 ? ”举例 来 说 ， 
你 不 也 向 种 进行 


档案 的 rwx 的 重新 设 定 吗 ?这 个 安全 性 本 文 你 就 将 他 想 成 SELinux 内 必 
备 的 rwx 就 


是 了 ! 这 样 比较 好 理解 啦 。 


安全 性 本 文 存在 于 主体 程序 中 与 目标 档案 资源 中 。 程 序 在 内 存 内 ， 所 以 
安全 性 本 文 


可 以 存 入 是 没 问题 。 那 档案 的 安全 性 本 文 是 记录 在 哪里 呢 ? 事实 上 ， 
安全 性 本 文 是 放 


置 到 档案 的 inode 内 的 ， 因 此 主体 程序 想 要 读 取 目标 档案 资源 时 ， 同 样 


需要 读 取 


inode ， 这 inode 内 就 可 以 比 对 安全 性 本 文 以 及 rwx 等 权限 值 是 否 
确 ， 而 给 予 适 


当 的 读 取 权 限 依 据 。 


0 
案 的 安 


性 本 文 好 了 。 观察 安全 性 本 文 可 使 用 『 ls -Z 」 去 观察 如 下 : (注意 : 你 
必须 已 经 局 


动 了 SELinux 才 行 ! 大 尚未 启动 ， 这 部 份 请 稍微 看 过 一 所 即 可 。 底 下 会 
介绍 如 何 局 动 


SELinux 喔 ! ) 











[root@www ~]#1s -Z 


-TW------- .Toot root System_u:object_radmin home t:s0 


anaconda-ks.cfg 
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drwxr-xr-x. root root unconfined_u:object_r:admin home t:s0 bin 
-TW-r--T--. root root system_u:object_r:admin home t:s0 
install.log 

-TW-r--T--. rTOOt root system_u:object_r:admin home t:s0 
install.log.syslog 

# 上 述 特殊 字体 的 部 分 ， 就 是 安全 性 本 文 的 内 容 ! 


如 上 所 示 ， 安 全 性 本 文 主要 用 冒号 分 为 三 个 字段 (最 后 一 个 字段 先 略 过 
不 看 )， 这 三 个 


字段 的 意义 为 : 





Identify:role:type 
身份 识别 :角色 :类 型 


丑 份 识别 (Identify): ”相当 于 账号 方面 的 时 份 识别 ! 主要 的 身份 识别 
则 有 捕 下 


三 种 常见 的 类 型 
oroot: 表示 root 的 账号 身份 ， 如 同上 面 的 表格 显示 的 是 root 家 目 
录 下 的 数据 啊 ! 
o system_u: 表示 系统 程序 方面 的 识别 ， 通 常 就 是 程序 嗓 ; 
ouser u: 代表 的 是 一 般 使 用 者 账号 相关 的 身份 。 
角色 (Role): 透 过 角色 字段 ， 我 们 可 以 知道 这 个 数据 是 属于 程序 、 档 

















Bi 
案 资 





源 还 是 代表 使 用 者 。 一 般 的 角色 有 : 
0 object r: 代表 的 是 档案 或 目录 等 档案 资源 ， 这 应 该 是 最 第 见 的 哆 ; 


o system_r: 代表 的 就 是 程序 啦 ! 不 过 ， 一 般 使 用 者 也 会 被 指定 成 为 














System T 喔 ! 
类 型 (Type): 在 预 设 的 targeted 政策 中 ， Identify 与 Role 字段 基本 


上 是 不 重要 的 ! 重要 的 在 于 这 个 类 型 (type) 字段 ! 基本 上 ， 一 个 主体 程 
序 能 


人 
9 定义 个 


太 相 同 ， 分 别 是 : 
o type: 在 档案 资源 (Object) 上 面 称 为 类 型 (Type); 
o domain: 在 主体 程序 (Subjecb 则 称 为 领域 (domain) 了 ! 


domain 需要 与 type 搭配 ， 则 该 程序 才能 够 顺利 的 读 取 档案 资源 啦 ! 
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httpd domain 







ivar/wwwihiml 
httpd sys content t 


iusrisbin/httpd 过 由 domain 可 评 取 的 资料 
httpd exec t 阁 洋 补 的 列 在 targeted 政策 
:其 中 包括 可 玄 取 
httpd_ sys_content t 糊 开 | 





Subject ， 就 是 httpd 程序 只 | 


程序 与 档案 SELinux type 字段 的 相关 性 





首先 我 们 来 瞧 瞧 主体 程序 在 这 三 个 字段 的 
意义 为 何 ! 


透 过 身份 识别 与 角色 字段 的 定义 ， ”我 们 可 以 约略 知道 某 个 程序 所 代表 
的 意义 喔 ! 基本 


上 ， 这 些 对 应 资料 在 targeted 政策 下 的 对 应 如 下 : 
吴 份 识别 
角色 


该 对 应 在 targeted 的 意义 








root 

system_r 代表 供 root 账号 登入 时 所 取得 的 权限 

system_u system_r 由 于 为 系统 账号 ， 因 此 是 非 交 谈 式 的 系统 运作 程序 
user u 

system 一般 可 登入 用 户 的 程序 喝 ! 


但 束 如 上 所 述 ， 其 实 最 重要 的 字段 是 类 型 字段 ， 主 体 与 目标 之 间 是 否 具 
有 可 以 读 写 的 权 


限 ， 与 程序 的 domain 及 档案 的 type 有 关 ! 这 两 者 的 关系 我 们 可 以 使 用 
达成 WWW 服 


务 器 功能 的 httpd 这 支 程序 与 /var/www/html 这 个 网 页 放置 的 目录 来 说 
明 。 首先 ， 








看 看 这 两 个 噬 吃 的 安全 性 本 文 内 容 允 : 
[root@www ~]# yum install httpd 


[root@www ~]#1 -Zd /usr/sbin/httpd /var/www/html 


-TWXI-XIT-X. root root system_u:object_r:httpd_exec t:s0 
/usr/sbin/httpd 

drwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 
/var/www/html 

# 两 者 的 角色 字段 部 是 object_r ， 代 表 都 是 档案 ! 而 httpd 属于 


httpd_exec_t 类 型 ， 





# /var/www/html 则 属于 httpd_sys_content_t 这 个 类 型 ! 
httpd 属于 httpd_exec_t 这 个 可 以 执行 的 类 型 ， 而 /var/www/html 则 属于 


httpd_sys_content_t 这 个 可 以 让 httpd 领域 (domain) 读 取 的 类 型 。 文 字 看 
起 来 不 


太 容 易 了 解 吧 ! 我 们 使 用 图 示 来 说 明 这 两 者 的 关系 ! 

图 7.4-2、 主 体 程序 取得 的 domain 与 目标 档案 资源 的 type 相互 关系 
上 图 的 意义 我 们 可 以 这 样 看 的 : 
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1. 首先 ， 我 们 触发 一 个 可 执行 的 目标 档案 ， 那 就 是 具有 httpd_exec t 这 


个 类 





型 的 /usr/sbin/httpd 
2. 该 档案 的 类 型 会 让 这 个 档案 所 造成 的 主体 程序 (Subject) 具有 httpd 这 


个 领域 (domain)， 我们 的 政策 针对 这 个 领域 已 经 制定 了 许多 规划， 其 中 
包括 这 





个 领域 可 以 读 取 的 目标 资源 类 型 ; 

3. 由 于 httpd domain 被 设 定 为 可 以 读 取 httpd_sys_content_t 这 个 类 型 的 
目标 档案 (Object)， 因此 你 的 网 页 放置 到 /var/www/html/ 目录 下 ， 就 能 
够 被 


httpd 那 支 程序 所 读 取 了 ; 


4. 但 最 终 能 不 能 读 到 正确 的 资料 ， 还 得 要 看 rwx 是 否 符合 Linux 权限 的 
规范 ! 


上 述 的 流程 告诉 我 们 几 个 重点 ， 第 一 个 是 政策 内 需要 制订 详细 的 
domain/type 相 


第 二 个 是 知 档 案 的 type 设 定 错误 ， 那么 即使 权限 设 定 为 rwx 全 
开 的 777 ， 


该 主体 程序 也 无 法 读 取 目 标 档案 资源 的 啦 ! 不 过 如 此 一 来 ， ”也 就 可 以 
避免 用 户 将 他 的 


家 目录 设 定 为 777 时 所 造成 的 权限 困扰 。 

7.4.2 SELinux 的 启动 、 关 闭 与 观察 

并 非 所 有 的 Linux distributions 都 支持 SELinux 的 ， 所 以 你 必须 要 先 观 察 
= 


你 的 系统 版 本 为 何 ! ” 乌 哥 这 里 介绍 的 ”CentOS 6.x 本 身 就 有 支持 
SELinux 啦 ! 所 以 你 





不 需要 自行 编译 SELinux 到 你 的 Linux 核心 中 ! 目前 SELinux 支持 三 
种 模式 ， 分 别 


如 下 : 
enforcing: 强制 模式 ， 代 表 SELinux 运作 中 ， 且 已 经 正确 的 开始 限制 


domain/type 了 ; 


permissive: 宽容 模式 : 代表 SELinux 运作 中 ， 不 过 仅 会 有 警告 讯 县 
并 不 


会 实际 限制 domain/type 的 存 取 。 这 种 模式 可 以 运 来 作为 SELinux 的 
debug 


之 用 5 


disabled: 关闭 ，SELinux 并 没有 实际 运作 。 





那 你 怎么 知道 目前 的 SELinux 模式 昵 ? 就 透 过 getenforce 吧 ! 
[root@www ~]# getenforce 
Enforcing <== 诺 ! 就 显示 出 目前 的 模式 为 Enforcing 跑 ! 


另外 ， 我 们 又 如 何 知道 SELinux 的 政策 (Policy) 为 何 呢 ? 这 时 可 以 来 观 
守 配 置 文件 


啦 : 





[root@www ~]# vim /etc/selinux/config 
SELINUX=enforcing <== 调 整 enforcing|disabled|permissive 
SELINUXTYPE=targeted <== 目 前 仅 有 targeted 与 mls 
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SELinux 的 启动 与 关闭 


上 面 是 默认 的 政信 与 启动 的 模式 ! 你 要 注意 的 是 ， 如 果 改 变 了 政策 则 需 
要 重新 局 动 ; 


如 果 由 enforcing 或 permissive 改 成 disabled ， 或 由 disabled 改 成 其 他 两 
个 
广 ， 


那 也 必须 要 重新 启动 。 这 是 因为 SELinux 是 整合 到 核心 里 面 去 的 ， 你 
只 可 以 在 





SELinux 运作 下 切换 成 为 强制 (enforcing) 或 宽容 (permissive) 模式 ， 不 
能 够 直接 


关闭 SELinux 的 ! 如 果 刚 刚 你 发 现 getenforce 出 现 disabled 时 ， 请 到 上 
述 档 案 修 


改 成 为 enforcing 然后 重新 启动 吧 ! 


不 过 你 要 注意 的 是 ， 如 果 从 disable 转 到 局 动 SELinux 的 模式 时 ， 由 于 


须要 针对 档案 写 入 安全 性 本 文 的 信息 ， 因 此 开机 过 程 会 花费 不 少时 间 在 
等 待 重新 写 入 


SELinux 安全 性 本 文 (有 时 也 称 为 SELinux Label) ， 而 且 在 写 完 之 后 还 
得 要 再 次 的 重 


新 启动 一 次 喔 ! 你 必须 要 等 待 粉 长 一 段 时 间 ! ”等 到 下 次 开机 成 功 后 ， 
再 使 用 getenforce 


来 观察 看 看 有 人 否 成功 的 启动 到 Enforcing 的 模式 史 ! 


如 果 你 已 经 在 ”Enforcing 的 模式 ， 但 是 可 能 由 于 一 些 设 定 的 问题 导致 
SELinux 让 














某 些 服务 无 法 正常 的 运作 ， 此 时 你 可 以 将 Enforcing 的 模式 改 为 宽容 


(permissive) 


的 模式 ， 让 SELinux 只 会 警告 无 法 顺利 联机 的 讯 电 ， 而 不 是 直接 抵挡 
主体 程序 的 读 取 


权限 。 让 SELinux 模式 在 enforcing 与 permissive 之 间 切 换 的 方法 为 : 
[root@www ~]# setenforce [0|1] 
选项 与 参数 : 


0 : 转 成 permissive 宽容 模式 ; 


1 : 转 成 Enforcing 强制 模式 

# 范例 一 : 将 SELinux 在 Enforcing 与 permissive 之 间 切 换 与 观 家 
[root@www ~]# setenforce 0 

[root@www ~]# getenforce 

Permissive 

[root@www ~]# setenforce 1 

[root@www ~]# getenforce 


Enforcing 


不 过 请 注意 ， setenforce 无 法 在 Disabled 的 模式 底下 进行 模式 的 切换 
喔 ! 
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Tips: 

在 某 些 特殊 的 情况 底下 ， 你 从 Disabled 切换 成 Enforcing 之 后 ， 

竟然 有 一 堆 服 务 无 法 顺利 启动 ， 都 会 跟 你 说 在 /lib/xxx 里 面 的 数 

据 没 有 权限 读 取 ， 所 以 启动 失败 。 这 大 多 是 由 于 在 重新 写 入 SELinux 
type (Relable) 出 错 之 故 ， 使 用 Permissive 就 没有 这 个 错误 。 那 

如 何 处 理 呢 ? 最 简单 的 方法 就 是 在 Permissive 的 状态 下 ， 使 用 


『 restorecon -Rv/ 上 重新 还 原 所 有 SELinux 的 类 型 ， 就 能 够 处 
理 这 个 错误 ! 
7.4.3 SELinux type 的 修改 


既然 SELinux 的 类 型 字段 (type) 这 么 重要 ， 那 如 何 修改 与 变更 这 个 字 
及 :当代 


就 是 最 重要 的 一 件 事 哆 。 痛 先 ， 我 们 来 看 看 如 朵 复制 一 个 档案 到 不 同 
的 目录 去 ; 会 发 


生 什 么 状况 吧 ! 


# 范例 将 /etc/hosts 复制 到 root 家 目录 ， 并 观察 相关 的 SELinux 类 型 变 
化 








[root@www ~ 上 #cp /etc/hosts /root 

[root@www ~]# 1s -d2 /etc/hosts /root/hosts /root 

-TW-T--T--. root root system_u:object_r:net_conf t:s0 /etc/hosts 

dr-xr-Xx---. root root system_u:object_r:admin home t:s0 /root 

-TW-r--r--. root root unconfined_u:object_r:admin_ home _t:s0 

/root/hosts 

# 范例 : 将 /root/hosts 移动 到 /tmp 下 ， 并 观察 相关 的 SELinux 类 型 变化 
[root@www ~]# myv /root/hosts /tmp 

[root@www ~]# 1s -d2 /tmp /tmp/hosts 

drwxrwxrwt. root root system_u:object_r:tmp_t:s0 /tmp 


-TW-r--r--. root root unconfined_u:object_r:admin_ home _t:s0 


/tmp/hosts 


2 当 你 单纯 的 复制 时 ，SELinux 的 type 字段 是 会 继承 目标 目录 
Jy， 以 


/root/hosts 的 类 型 就 会 变 成 admin home t 这 个 类 型 了 。 但 是 如 果 是 移动 
呢 ? 那么 连 


同 SELinux 的 类 型 也 会 被 移动 过 去 ， 因 此 /tmp/hosts 会 依旧 保持 


admin home t 而 


不 会 变 成 /tmp 的 tmp_t 这 个 类 型 听 ! 要 注意 ! 要 注意 ! 那么 ， 如 何 将 
/tmp/hosts 变 


更 成 为 最 原始 的 net_conf t 这 个 类 型 呢 ? 那 就 得 要 使 用 chcon 哆 ! 








chcon 

[root@www ~]# chcon [-R] [-t type] [-u user] [-r role] 档案 
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[root@www ~]# chcon [-R] --reference= 范 例文 件 档案 
选项 与 参数 : 

-R : 连同 该 目录 下 的 次 目录 也 同时 修改 ; 

-t: 后 面 接 安全 性 本 文 的 类 型 字段 ! 例如 httpd_sys_content t ; 
-u : 后 面 接 身份 识别 ， 例 如 system_ui 

工 : 后 面 街角 色 ， 例 如 system I; 

--reference= 范 例文 件 ， 拿 某 个 档案 当 范 例 来 修改 后 续 接 的 档案 的 类 型 ! 
# 范例 :将 刚刚 的 /tmp/hosts 类 型 改 为 etc_t 的 类 型 














[root@www ~]# chcon -tnet_conf t /tmp/hosts 


[root@www ~]#1 -Z /tmp/hosts 

-TW-r--r--. root root unconfined_u:object_r:net_conf t:s0 /tmp/hosts 
# 范例 : 以 /var/spool/mail/ 为 依据 ， 将 /tmp/hosts 修改 成 该 类 型 
[root@www ~]# 1 -dzZ /var/spool/mail 

drwxrwxr-x. root mail system_u:object_r:mail_spool t:s0 
/var/spool/mail 

[root@www ~]# chcon --reference=/var/spool/mail /tmp/hosts 
[root@www ~]#1 -Z /tmp/hosts 

-TW-r--T--. Toot root system_u:object_r:mail_spool_t:s0 /tmp/hosts 


chcon 的 修改 方式 中 ， 我 们 必须 要 知道 最 终 我 们 的 SELinux type 是 喻 类 
型 后 ， 才 能 够 


变更 成 功 。 如 果 你 想 要 作 的 是 『 复 原 成 原 有 的 SELinux type」 呢 ? 那 可 
以 参考 底下 的 


# 令 来 进行 哆 ! 











restorecon 
[root@www ~]# restorecon [-Rv] 档案 或 目录 

选项 与 参数 : 

-R : 连同 次 目录 一 起 修改 ; 

-V : 将 过 程 显示 到 屏幕 上 

# 范例 :将 刚刚 /tmp/hosts 移动 至 /root 并 以 预 设 的 安全 性 本 文 改正 过 来 





[root@www ~]# mv /tmp/hosts /root 


[root@www ~]#1 -Z /root/hosts 
-TW-T--T--. Toot root system_u:object_r:mail_spool_t:s0 /root/hosts 
[root@www ~ 上 #Trestorecon -Rv /root 
restorecon reset /roothosts context 
system_u:object_r:mail spool t:s0-> 
system_u:object_r:admin home t:s0 
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# 上 面 这 两 行 其 实 是 同一 行 喔 ! 表示 将 hosts 由 mail_spool_t 改 为 
admin_home t 

默认 目录 的 安全 性 本 文 查询 与 修改 


透 过 上 面 这 几 个 练习 ， 你 就 会 知道 啦 ，SELinux type 您 怕 会 在 档案 的 复 
制 /移动 时 


产生 一 些 变化 ， 因 此 需要 善 用 chcon，restorecon 等 指令 来 进行 修订 。 那 
你 应 该 还 是 


会 想到 一 件 事 ， 那 就 是 ， restorecon 怎么 会 知道 每 个 目录 记载 的 默认 
SELinux type 


类 型 呢 ? 这 是 因为 系统 有 记录 嘛 ! 记录 在 /etc/selinux/targeted/contexts， 
但 是 该 


目录 内 有 很 多 不 同 的 数据 ， ”要 使 用 文本 编辑 器 去 碍 阅 很 肪 烦 ， 此 时 ， 
我 们 可 以 透 过 


semanage 这 个 指令 的 功能 来 查询 与 修改 喔 ! 








[root@www ~]# semanage {loginluser|portlinterfacel|fcontextltranslation} 


-] 
[root@www ~]# semanage fcontext -{aldIm} [-frst] file_spec 


选项 与 参数 : 


fcontext : 主要 用 在 安全 性 本 文 方面 的 用 途 ， -] 为 但 询 的 意思 ; 

-a : 增加 的 意思 ， 你 可 以 增加 一 些 目录 的 默认 安全 性 本 文 类 型 设 定 ; 
-m : 修改 的 意思 ; 

-d : 删除 的 意思 。 





# 范例 :查询 一 下 /varwww/ 的 预 设 安 全 性 本 文 设 定 为 何 ! 
[root@www ~I# yum install policycoreutils-python 
[root@www ~]# semanage fcontext -] | grep /Var/WWww' 
SELinux fcontext 类 型 Context 

/var/www!(/.*)? all files 
system_u:object_r:httpd_sys_content_t:s0 
/Var/www(/.*)?/logs(/.*)? all files 
system_u:object_r:httpd_log_t:s0 

.…( 后 面 省 略 )…. 


从 上 面 的 说 明 ， 我 们 知道 其 实 ”semanage “可 以 处 理 非常 多 的 任务 ， 不 
过 ， 在 这 个 小 节 我 


们 主要 想 了 解 的 是 每 个 目录 的 默认 安全 性 本 文 。 如 上 面 范例 所 示 ， 我 
们 可 以 查询 的 到 


每 个 目录 的 安全 性 本 文 啦 ! 





个 范围 。 那 么 如 


果 我 们 想 要 增加 茶 些 上 自 定 义 的 目录 的 安全 性 本 文 呢 7? ”举例 来 说 ， 我 想 
要 制订 


/Srv/vbird 成 为 public_content_t 的 类 型 时 ， 应 该 如 何 指定 呢 ? 


# 范例 : 利用 semanage 设 定 /srv/vbird 目录 的 默认 安全 性 本 文 为 





public_content_t 
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o 

[root@www ~]# mkdir /srv/vbird 

[root@www ~]# 1 -Zd /srv/vbird 

drwxr-xr-x. root root unconfined_u:object_r:var_t:s0 /srv/vbird 
# 如 上 所 示 ， 预 设 的 情况 应 该 是 var_t 这 个 略 咯 的 ! 
[root@www ~]#semanage fcontext -] | grep VSrV' 

/Srv directory system_u:object_r:var_t:s0 <== 看 

这 里 

/srv/.* all files system_u:object_r:var_t:s0 

.…( 底 下 省 略 )…. 

# 上 面 则 是 预 设 的 /srv 底下 的 安全 性 本 文 数据 ， 不 过 ， 并 没有 指定 到 


/srv/vbird 啦 





[root@www ~]# semanage fcontext -a -t public_content_t 


"/srv/vbird(/.*)?" 


[root@www ~]# semanage fcontext -] | grep /srv/vbird' 
/srv/vbird(/.*)? all files 
system_u:object_r:public_content t:s0 

[root@www ~]# cat 
/etc/selinux/targeted/contexts/files/file_contexts.local 

# This file is auto-generated by libsemanage 

# Please use the semanage command to make changes 
/srv/vbird(/.*)? system_u:object_r:public_ content t:s0 

# 其 实 就 是 号 入 这 个 档案 的 哆 ! 人 人 

[root@www ~]# restorecon -Rv /srv/vbird* <== 演 试 恢复 默认 值 
[root@www ~]# 1 -Zd /srv/vbird 

drwxr-xr-x. root root system_u:object_r:public_content t:s0 
/srv/vbird 

# 有 默认 值 ， 以 后 用 restorecon 来 修改 比较 简单 ! 


semanage 的 功能 很 多 ， 不 过 乌 哥 主要 用 到 的 仅 有 fcontext 这 个 项 目的 动 
作 而 已 。 如 


上 所 示 ， 你 可 以 使 用 semanage 来 查询 所 有 的 目录 默认 值 ， 也 能 够 使 用 
他 来 增加 默认 


值 的 设 定 ! 如 果 您 学 会 这 些 基 础 的 工具 ， 那么 SELinux 对 你 来 说 ， 也 
不 是 什么 太 难 的 


响 史 嘿 ! 








7.4.4 SELinux 政策 内 的 规则 布尔 值 修 订 

前 面 讲 到 ， 要 通过 SELinux 的 验证 之 后 才能 开始 档案 权限 rwx 的 判断 ， 
而 

SELinux ”的 判断 主要 是 (政策 内 的 规则 比 对 与 (2) 程 序 与 档案 的 
SELinux type 要 
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符合 才能 够 放行 。 前 一 个 小 节 谈 的 是 SELinux 的 type ， 这 个 小 节 就 是 
要 谈 一 下 政策 


内 的 规则 咖 ， 包 括 如何 查 询 与 修改 相关 的 规则 放行 与 否 嗓 。 
政策 查阅 


CentOS 6.x 预 设 使 使 用 targeted 政策 ， 那 么 这 个 政策 提供 多 少 相 关 的 规 
则 呢 ? 


此 时 可 以 透 过 seinfo 来 查询 喔 ! 





[root@www ~]# yum install setools-console 


[root@www ~]# seinfo [-Atrub] 


选项 与 参数 : 
-A : 列 出 SELinux 的 状态 、 规 则 布尔 值 、 喘 份 识别 、 角 色 、 类 别 等 所 
忌 


-t: 列 出 SELinux 的 所 有 类 别 (type) 种 类 
T: 列 出 SELinux 的 所 有 角色 (role) 种 类 
-u : 列 出 SELinux 的 所 有 身份 识别 (user) 种 类 


-b : 列 出 所 有 规则 的 种 类 (布尔 值 ) 

# 范例 一 : 列 出 SELinux 在 此 政策 下 的 统计 状态 

[root@www ~]# seinfo 

tatistics for policy file: /etc/selinux/targeted/policy/policy.24 

Policy Version & Type: v.24 (binary, mls) <== 列 出 政策 所 在 档 与 版 本 
Classes: 77 Permissions: 229 

Sensitivities: 1 Categories: 1024 

Types: 3076 Attributes: 251 

Users: 9 Roles: 13 

Booleans: 173 Cond. Expr.: 208 

Allow: 271307 Neverallow: 0 

Auditallow: 44 Dontaudit: 163738 

Type_trans: 10941 Type_change: 38 

Type_member: 44 Role allow: 20 

Role_trans: 241 Range_trans: 2590 

…( 底 下 省 略 )..… 

# 从 上 面 我 们 可 以 看 到 这 个 政策 是 targeted ， 此 政策 的 SELinux type 有 
3076 个 ; 

# 而 针对 网 络 服务 的 规则 (Booleans) 共 制 订 了 173 条 规则 ! 

# 汽 例 二 : 列 出 与 httpd 有 关 的 规则 (booleans) 有 哪些 ? 


[root@www ~]#seinfo -b | grep httpd 

Conditional Booleans: 173 
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allow_httpd_ mod_auth_pam 

httpd_setrlimit 

httpd_enable_ftp_server 

(底下 省 略 )…. 

# 你 可 以 看 到 ， 有 非常 多 的 与 httpd 有 关 的 规则 订 定 呢 ! 


从 上 面 我 们 可 以 看 到 与 httpd 有 关 的 布尔 值 ， 同 样 的 ， 如 果 你 想 要 找到 
有 httpd 字样 


人 就 可 以 使 用 『 seinfo -t | grep httpd 」 来 查询 了 ! 
1 未 碍 


询 到 相关 的 类 别 或 者 是 布尔 值 后 ， 想 要 知道 详细 的 规则 时 ， ”就 得 要 使 


用 sesearch 这 

TET) 

[root@www ~]# sesearch [--all] [-s 主体 类 别 ] [-t 目标 类 别 ] [-b 布尔 值 ] 
选项 与 参数 : 

--al : 列 出 该 类 别 或 布尔 值 的 所 有 相关 信息 

-t : 后 面 还 要 接 类 别 ， 例 如 -t httpd_t 

-b : 后 面 还 要 接 布尔 值 的 规则 ， 例 如 -b httpd_enable_ftp_server 


# 范例 一 : 找 出 目标 档案 资源 类 别 为 httpd_sys_content_t 的 有 关 信 息 











[root@www ~]# sesearch --all -thttpd_sys_content _t 

Found 683 semantic av rules: 

allow avahi_t file_type : filesystem getattr ; 

allow corosync t file_type : filesystem getattr ; 

allow munin_system_plugin t file_type : filesystem getattr ; 
(底下 省 略 )…. 

# 『 allow 主体 程序 安全 性 本 文 类 别 目标 档案 安全 性 本 文 类 别 ] 


# 如 上 ， 说 明 这 个 类 别 可 以 被 那个 主题 程序 的 类 别 所 读 取 ， 以 及 目标 档 
案 资源 


的 格式 。 


你 可 以 很 轻易 的 查询 到 某 个 主体 程序 (subjecb 可 以 读 取 的 目标 档案 资源 
(Object)。 


那 如 果 是 布尔 值 呢 ? 里 面 又 规范 了 什么 ? 让 我 们 来 看 看 先 : 


# 范例 三 : 我 知道 有 个 布尔 值 为 htpd_enable_ homedirs ， 请 问 该 布尔 值 
规范 多 


少 规则 ? 








[root@www ~]# sesearch -b httpd_enable_homedirs --all 
Found 43 semantic av rules: 

allow httpd_user_script_t user_ home _ dir t: dir { getattr search 
open }; 


allow httpd_sys_script_t user home dir t: dir { ioctl read 


getattr }; 
.…( 后 面 省 略 )…. 
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从 这 个 布尔 值 的 设 定 我 们 可 以 看 到 里 面 规范 了 非常 多 的 主体 程序 与 目标 
档案 资源 的 放 


行 与 否 ! 所 以 你 知道 了 ， 实 际 规范 这 些 规则 的 ， 就 是 布尔 值 的 项 目 
啦 ! 那 也 就 是 我 们 


之 前 所 说 的 一 堆 规 则 是 也 ! ”你 的 主体 程序 能 否 对 某 些 目 标 档 案 进 行 存 
取 5s - 吉 这 个 布尔 


值 非常 有 关系 喔 ! 因为 布尔 值 可 以 将 规则 设 定 为 局 动 (1) 或 者 是 关闭 (0) 


啦 ! 
布尔 值 的 查询 与 修改 


上 面 我 们 透 过 sesearch 知道 了 ， 其 实 Subject 与 Object 能 否 有 存 取 的 权 
限 ， 

















古 与 布尔 值 有 关 的 ， 那么 系统 有 多 少 布尔 值 可 以 透 过 seinfo -b 来 奋 
询 ， 但 ， 每 个 布 


尔 值 是 启动 的 还 是 关闭 的 呢 ? 这 就 来 查询 看 看 吧 : 
[root@www ~]# getsebool [-a] [布尔 值 条 球 ] 

选项 与 参数 : 

-a : 列 出 目前 系统 上 面 的 所有 布尔 值 条 球 设 定 为 开局 或 关闭 值 
# 范例 一 : 查询 本 系统 内 所 有 的 布尔 值 设 定 状 况 








[root@www ~]# getsebool -a 


abrt_anon_ write --> off 


allow_console_login --> on 
allow_cvs_read_shadow --> off 
…( 底 下 省 略 )..… 

# 您 瞧 ! 这 就 告诉 你 目前 的 布尔 值 状态 吃 ! 


那么 如 果 碍 询 到 某 个 布尔 值 ， 并 且 以 sesearch 知道 该 布尔 值 的 用 途 后 ， 
想 要 关闭 或 局 


动 他 ， 又 该 如 何 处 置 ? 

[root@www ~]# setsebool [-P] 布尔 值 =[0|1] 

选项 与 参数 : 

-P : 直接 将 设 定 值 写 入 配置 文件 ， 该 设 定数 据 未 来 会 生效 的 ! 


# 范例 一 : 查询 httpd_enable_ homedirs 是 人 否 为 on， 知 不 为 on 请 启动 
他 ! 








[root@www ~]# getsebool httpd_enable homedirs 
httpd_enable_homedirs --> off <== 结 果 是 of ， 依 题 意 给 他 启动 ! 
[root@www ~|]# setsebool -P httpd_enable homedirs=1 
[root@www ~|]# getsebool httpd_enable_ homedirs 
httpd_enable_homedirs --> on 


这 个 setsebool 最 好 记得 一 定 要 加 上 -P 的 选项 ! 因为 这 样 才 能 
写 入 配置 文 


件 ! ”这 是 非常 棒 的 工具 组 ! 你 一 定 要 知道 如 何 使 用 getsebool 与 
setsebool 才 行 ! 








将 此 设 定 
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7.4.5 SELinux 登录 文件 记录 所 需 服务 


上 述 的 指令 功能 当中 ， 尤 其 是 setsebool, chcon, restorecon 等 ， 都 是 为 了 
当 你 

的 某 些 网 络 服务 无 法 正常 提供 相关 功能 时 ， ” 才 需 要 进行 修改 的 一 些 指 
令 动 作 。 但 是 ， 


我 们 怎么 知道 哪个 时 候 才 需要 进行 这 些 指令 的 修改 啊 ? 我 们 怎么 知道 系 
统 因为 


SELinux 的 问题 导致 网 络 服务 不 对 劲 啊 ? 如 宁都 要 靠 客 户 端 联 机 失败 才 
来 哭诉 ， 那 也 太 


没有 效率 了 ! 所 以 ， 我 们 的 CentOS 6.x 有 提供 几 支 侦 测 的 服务 在 登录 
SELinux 产生 





的 错误 喔 ! 那 就 是 auditd 与 setroubleshootd。 
setroubleshoot --> 错误 讯 居 写 入 /var/log/messages 


人 SELinux 相关 的 程序 都 会 以 se 为 开头 ， 这 个 服务 也 是 以 se 为 
开头 ! 


而 troubleshoot 大 家 都 知道 是 错误 克服 ， 因此 这 个 setroubleshoot 自然 束 


动 他 啦 ! 这 个 服务 会 将 关于 SELinux 的 错误 讯息 与 克服 方法 记录 到 


/Var/log/messages 与 /Var/log/setroubleshoot/* 里 头 ， 所 以 你 一 定 得 要 启动 
J 








服务 才 好 。 局 动 这 个 服务 之 前 当然 就 是 得 要 安装 它 啦 ! ”这 玩意 儿 忆 共 
需要 两 个 软件 ， 


分 别 是 setroublshoot 与 setroubleshoot-server， 如 果 你 没有 安装 ， 请 自行 


使 用 yum 

安装 吧 ! 

I 原本 的 SELinux 信息 本 来 是 以 两 个 服务 来 记录 的 ， 分 别 是 auditd 
setroubleshootd。 既 然 是 同样 的 信息 ， 因此 CentOS 6.x 将 两 者 整合 在 
auditd 当中 

所 以 ， 并 没有 setroubleshootd 的 服务 存在 了 喔 ! 因此 ， 当 你 安装 好 








setroubleshoot-server 之 后 ， 请 记得 要 重新 启动 auditd， 人 否则 
setroubleshootd 的 
功能 不 会 被 启动 的 。 


[root@www ~ Il# yum install setroubleshoot setroubleshoot-server 
[root@www ~]# /etc/init.d/auditd restart <== 整 合 到 auditd 当中 了 ! 
Tips: 

事实 上 ，CentOS 6.x 对 setroubleshootd 的 运作 方式 是 : (1) 先 

由 auditd 去 呼叫 audispd 服务 ， (2) 然 后 audispd 服务 去 启动 
sedispatch 程序 ， (3)sedispatch 再 将 原本 的 auditd 讯 恩 转 成 
setroubleshootd 的 讯 足 ， 进 一 步 储存 下 来 的 ! 


那么 如 果 有 发 生 错误 时 ， 讯 县 像 什 么 呢 ? 我 们 使 用 httpd 这 文 程序 产生 
的 错误 来 说 明 


好 了 。 假 设 你 需要 局 动 WWW 服务 器 ， 我 们 的 WWW 是 由 httpd 这 文 
服务 提供 的 ， 因 此 


你 必须 要 安装 且 局 动 它 才 行 : 
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[root@www ~|]# /etc/init.d/httpd start 

[root@www ~ 1# netstat -tinp | grep http 

tcp 0 0 :::80 :::* LISTEN 2218/httpd 

# 看 到 没 ? 有 启动 port 80 了 ! 这 是 重点 ! 

这 个 时 候 我 们 的 WWW 服务 圳 就 安装 妥当 了 。 我 们 的 首页 其 实 是 放置 


到 /var/ www/html 


目录 下 的 ， 且 文件 名 必须 要 是 index.html。 那 如 果 我 使 用 底下 的 模式 来 
进行 首页 的 处 


理 时 ， 可 能 就 会 产生 SELinux 的 问题 了 ! 我 们 就 来 模拟 一 下 出 问题 的 状 
部 吧 ! 


[root@www ~]# echo "My first selinux check" > index.html 
[root@www ~]# 1 index.html 

-rW-r--r--. 1 root root 23 2011-07-20 18:16 index.html <== 权 限 没 问 
题 


[root@www ~]# mv index.html /var/www/html 


此 时 我 们 就 可 以 打开 浏览 器 ， 然 后 在 浏览 右上 面 输入 Linux 自己 的 人 P 
来 查 察 看 ， 看 


` 能 连 上 自己 的 WWW 首页 。 因为 我 们 这 次 安装 并 没有 图 形 接口 ， 
本 以 使 用 links 来 





查 察 http://localhost/index.html 看 看 ! 你 会 得 到 如 下 的 讯息 : 
[root@www ~]# links http://ocalhost/index.html -dump 
Forbidden 

You don't have permission to access /index.html on this server. 
Apache/2.2.15 (CentOS) Server at localhost Port 80 


画面 最 明显 的 地 方 就 是 告诉 你 ， 你 并 没有 权限 可 以 存 取 index.html 的 ! 
见鬼 了 ! 明明 


权限 是 对 的 喔 ! 那 怎 办 ? 没关系 ， 就 透 过 setroubleshoot 的 功能 去 检查 
看 看 。 此 时 


请 分 析 一 下 /var/log/messages 的 内 容 吧 ! 有 点 像 这 样 : 








[root@www ~ 1# cat /var/log/messages | grep setroubleshoot 

Jul 21 14:53:20 www setroubleshoot: SELinux is preventing 
/usr/sbin/httpd 

"getattr" access to /var/ www/html/index.html. For complete SELinux 
messages. 

run sealert -| 6c927892-2469-4fcc-8568-949da0b4cf8d 
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上 面 的 错误 讯 县 可 是 同一 行 喔 ! 大 纲 说 的 是 『SElinux 被 用 来 避免 httpd 
读 取 到 错误 


的 安全 性 本 文 ， 想 要 查阅 完整 的 数据 ， 请 执行 sealert -1 … 上 」 没 错 ! 你 注 
意 到 了 ! 








重点 就 是 sealert -1 啦 ! 上 面 提供 的 信息 并 不 完整 ， 想 要 更 完整 的 说 明 
得 要 入 


sealert 配合 侦 测 到 的 错误 代码 来 处 理 。 实际 处 理 后 会 像 这 样 : 
[root@www ~]# sealert -| 6c927892-2469-4fcc-8568-949da0b4cf8d 
Summary: 

SELinux is preventing /usr/sbin/httpd “getattr" access to 
/Var/www/html/index.html. <== 刚 刚 在 messages 里 面 看 到 的 信息 ! 
Detailed Description: <== 接 下 来 是 详细 的 状况 解析 ! 要 看 喔 ! 
SELinux denied access requested by httpd. /varwww/htmUyindex.html may 
be a mislabeled. /var/www/html/index.html default SELinux type is 
httpd_sys_content_t, but its current type is admin home t. Changing 
this file back to the default type, may fix your problem. 

…( 中 间 省 略 ).… 


Allowing Access: <== 超 重要 的 项 目 ! 要 看 要 看 ! 





You can restore the default system context to this file by executing 
the 

restorecon command. restorecon /var/www/html/index.htm!l', if this 
file 

is a directory, you can recursively restore Using restorecon -R 

Vvar/ www/html/index.html.. 


Fix Command: 


/sbin/restorecon /var/www/html/index.html' <== 知 道 如 何 解决 了 吗 ? 
Additional Information: <== 还 有 一 些 额外 的 信息 ! 

.…( 底 下 省 略 )… 

[root@www ~]# restorecon -Rv /var/ www/html/index.html' 
restorecon reset /var/ www/html/index.html context 
unconfined_u:object_r: 

admin home t:s0->system _u:object r:httpd_sys_content t:s0 


重点 就 是 上 面 特殊 字体 显示 的 地 方 ! 你 只 要 照 着 『Allowing Access」 里 
面 的 提示 去 进 


行 处 理 ， 就 能 够 完成 你 的 SELinux 类 型 设 定 了 ! 比 对 刚刚 我 们 上 个 小 
节 提 到 的 


restorecon 与 chcon 你 就 能 够 知道 ， setroubleshoot 提供 的 讯息 有 多 有 效 
了 吧 ! 不 
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管 出 了 啥 SELinux 的 问题 ， 绝 大 部 分 在 setroubleshoot 的 服务 中 就 会 告 
诉 你 解决 之 


道 ! 所 以 ， 很 多 东西 都 不 用 背 的 ! 
用 email 或 在 指令 列 上 面 直接 提供 setroubleshoot 错误 讯 县 


如 果 每 次 测试 都 得 要 到 /var/log/messages 去 分 析 ， 那 真是 挺 麻 烦 的 啊 ! 
疫 关 3 9 


我 们 可 以 透 过 email 或 console 的 方式 来 将 信息 产生 ! 也 就 是 说 ， 我 们 
可 以 让 


setroubleshoot 主动 的 发 送 产 生 的 信息 到 我 们 指定 的 email， 这 样 可 以 方 











便 我 们 实时 


的 分 析 喔 ! 怎么 办 到 ? 就 修改 setroubleshoot 的 配置 文件 即 可 。 你 可 以 
查阅 


/etc/setroubleshoot/setroubleshoot.cfg ”这 个 档案 的 内 容 ， 我 们 只 需要 修改 
的 地 方 


如 下 : 

[root@www ~]# vim /etc/setroubleshoot/setroubleshoot.cfg 
[emailj 

# 大 约 在 81 行 左右 ， 这 行 要 存在 才 行 ! 

recipients_filepath = /var/lib/setroubleshoot/email alert _recipients 
# 大 约 在 147 行 左 右 ， 将 原本 的 False 修改 成 True 先 ! 

console = True 

[root@www ~ 1# vim /var/lib/setroubleshoot/email alert_recipients 
root@localhost 

your@email.address 

[root@www ~]# /etc/init.d/auditd restart 


之 后 你 就 可 以 透 过 分 析 你 的 email 来 取得 SELinux 的 错误 讯 县 吃 ! 非常 
的 简单 吧 ! 只 


是 要 注意， 上 述 的 填写 email 的 档案 中 ， 不 能 只 写 账号 ， 你 要 连同 
@localhost 都 写 


上 ， 这 样本 机 上 面 的 root 才能 收 到 信件 喔 ! 就 这 么 简单 哩 ! 和信 


SELinux 错误 克服 的 总 结 





我 们 来 简单 的 做 个 总 结 吧 ! 因为 你 的 网 络 联机 要 通过 SELinux 才 的 权限 
判定 局 才 


能 够 继续 rwx 的 权限 比 对 。 而 SELinux 的 比 对 主要 又 分 为 : (HT 需要 通 
过 政策 的 各 项 


规则 比 对 后 (2) 才 能 够 进行 SELinux type 安全 性 本 文 的 比 对 ， 这 两 项 工 
作 都 得 要 正确 


才 行 。 而 后 续 的 SELinux 修改 主要 是 透 过 chcon, restorecon, setsebool 等 
已 人 了 
自 令 


处 理 的 。 但 是 如 何 处理 呢 ? 可 以 透 过 分 析 /var/log/messages 内 提供 的 


setroubleshoot 的 信息 来 处 置 ! 这 样 就 很 轻松 的 可 以 管理 你 的 SELinux 
[ 嘿 ! 
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但 是 如 果 因 为 某 些 原因 ， 举 例 来 说 CentOS 没有 规范 到 的 setroubleshoot 
信息 时 ， 


可 能 你 还 是 无 法 了 解 到 事情 到 底 是 哪里 出 错 。 那 此 时 我 们 会 这 样 建 


1. 在 服务 与 rwx 权限 都 没有 问题 ， 却 无 法 成 功 的 使 用 网 络 服务 时 ; 


2. 先 使 用 setenforce 0 设 定 为 宽容 模式 ; 


3. 再 次 使 用 该 网 络 服务 ， 如 果 这 样 就 能 用 ， 表 示 SELinux 出 问题 ， 请 往 
下 继 


续 处 理 。 如 果 这 样 还 不 能 用 ， 那 问题 就 不 是 在 SELinux 上 面 ! 请 再 找 其 
他 解决 

方法 ， 底 下 的 动作 不 适合 你 ; 

4. 分 析 /var/log/messages 内 的 信息 ， 找 到 sealert -1 相关 的 信息 并 且 执 


人 ; 


5. 找到 Allow Access 的 关键 词 ， 照 里 面 的 动作 来 进行 SELinux 的 错误 元 
服 ; 


6. 处 理 完 毕 重新 setenforce 1 ， 再 次 测试 网 络 服务 吧 ! 


这 样 就 能 够 很 轻松 的 管理 你 的 SELinux 啦 ! 不 需要 想 太 多 ! 分 析 登 录 档 
就 对 啦 ! 


Tips: 

当 鸟 哥 第 一 次 修改 这 个 SELinux 的 部 分 时 ， 在 sealert 的 部 分 一 

直 出 现 错误 ， 信 息 为 : query_alert error (1003)... 后 来 经 过 更 

新 软件 后 ， 又 发 现 无 法 以 UTF8 进行 文字 译 码 的 问题 ! 实在 伤 脑筋 ~ 
最 后 还 是 修改 了 /etc/sysconfig/il8n 将 里 面 的 数据 设 定 为 : 
LANG=en_US 并 且 重 新 启动 ， 才 顺利 恢复 sealert 的 信息 说 明 ! 真 
的 是 很 怪异 ! 

7.5 被 攻击 后 的 主机 修复 工作 


如 果 你 的 主机 被 攻击 而 被 取得 操纵 权 的 话 ， 而 你 也 由 于 了 解 到 主机 监控 
的 需要 ， 所 





以 在 最 短 的 时 间 内 发 现 此 一 事件 ，“ 那么 该 如 何 针对 这 个 被 入 侵 的 主机 
来 修复 ? 那 如 果 


你 要 修复 的 话 ， 你 这 个 网 管 人 员 还 需要 哪些 额外 的 技能 ? ”底下 我 们 就 
来 谈 一 谈 。 


7.5.1 网 管 人 员 应 具备 的 技能 


从 本 草 第 一 小 节 的 分 析 当 中 ， 你 会 发 现 网 管 还 真 的 是 插 素 的 ， 他 需要 对 
操作 系统 有 


一 定 程度 的 熟悉 ， ”对 于 程序 的 运作 与 权限 概念 则 需要 更 了 解 ， 人 否则 就 
肤 烦 了 ! 那 除 了 


操作 系统 的 基本 概念 之 外 ，” 咀 们 网 管 还 需要 啥 特殊 技巧 呢 ? 当然 需要 
啊 ! 其 实 一 部 主 


机 最 党 发 生 问题 的 状况 ， ”都 是 由 『 内 部 的 网 络 误 用 所 产生 的 ] ， 所 以 
啊 ， 你 只 管 好 主 


机 而 已 是 『 没 有 办 法 杜绝 问题 上 」 的 啦 ! ”底下 束 来 谈 谈 你 还 需要 喻 技巧 
呢 ? 


了 解 什么 是 需要 保护 的 内 容 : 


需 D3 
我 的 天 响 ， 还 要 知道 什么 是 需要 保护 的 呀 ? 没 错 ， 就 是 如 此 ! 由 刚刚 我 
们 知道 的 


主机 入 侵 方法 当中 ， ”不 难 了 解 ， 只 要 有 人 坐 在 你 的 主机 前 面 ， 那 么 任 
何事 都 有 
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人 请 [不 要 让 任何 人 靠 
近 ! 」 你 


可 以 参考 一 下 汤姆 元 钼 斯 在 『 不 可 能 的 任务 」 里面 要 鳃 取 一 部 计算 机 内 
的 数据 的 








困难 度 ! A_Am 

o 便 件 ， 能 锁 就 锁 吧 ! 

o 软件 ， 还 包含 最 重要 的 数据 呢 ! 
预防 黑客 (Black hats) 的 入 侵 : 


这 可 不 是 开 玩 突 的 ， 什 么 是 黑客 呀 ! 这 是 因为 原本 在 西部 电影 当中 ， 坏 
人 都 是 戴 


黑色 帽子 的 ， 所 以 之 前 的 人 们 就 称 网 络 攻击 者 为 Black hats 啦 ! 在 预防 
这 方 

面 的 攻击 者 时 ， 除 了 严格 管制 网 络 的 登入 之 外 ， ”还 需要 特别 控制 原本 
你 的 主机 

中 的 人 物 ! 就 我 们 小 网 站 来 说 ， 不 要 以 为 好 朋友 就 随便 他 畔 ! 他 说 要 
# 定 密码 


人 
和 主机.， 





并 破坏 你 的 主机 ，” 那 可 就 得 不 偿 失 了 ! 如 果 是 大 企业 的 话 ， 那 么 员工 
使 用 网 络 


时 ， 也 要 分 等 级 的 昵 ! 人 人 
主机 环境 安全 化 : 


没什么 好 讲 的 ， 除 了 多 关心 ， 还 是 多 关心 ! 仔细 的 分 析 登 录 档 ， 负 名 上 
网 看 看 最 


新 的 安全 通告 ， 这 都 是 最 基础 的 ! ”还 包含 了 以 最 快 的 速度 更 新 有 问题 
的 软件 ! 


因为 ， 越 快 更 新 你 的 软件 ， 就 越 快 可 以 杜绝 黑客 的 入 侵 ! 
防火 墙 规则 的 订 害 : 


这 部 份 比较 采 烦 一 些 啦 ! 因为 你 必需 要 不 断 的 测试 测试 再 测试 ! 以 取得 
优化 的 网 


络 安全 设 定 ! ”怎么 说 昵 ? 要 晓得 的 是 ， 如 果 你 的 防火 增 规 则 订 定 得 太 
多 的 时 候 ， 


那么 一 个 资料 封包 就 要 经 过 越 多 的 关卡 才能 完整 的 通过 防火 场 ， 以 进入 
到 主机 内 


部 ! 嘿嘿 ! ”这 可 是 相当 的 花费 时 间 的 ! 会 造成 主机 的 效能 不 朝 ! 特别 


留意 这 一 
点 呢 ! 
实时 维护 你 的 主机 : 


就 像 刚 刚 说 的 ， 你 必需 要 随时 维护 你 的 主机 ， 因 为 ， 防 火 墙 不 是 一 经 设 
定之 后 就 


不 用 在 再 他 了 ! 因为， 再 严密 的 防火 场 ， 也 会 有 漏洞 的 ! 这 些 漏洞 包 
括 防火 规 


则 设 定 不 民 、 利 用 较 新 的 侦 测 入 侵 技术 、 ”利用 你 的 旧 软 件 的 服务 漏洞 


等 等 ! 所 


以 ， 必 需要 实时 维护 你 的 主机 呀 ! 这 方面 除了 分 析 log files 之 外 ， 也 可 
以 糊 


由 实时 侦 测 来 进行 这 个 工作 ! 例如 PortSentry 就 是 蛮 不 错 的 一 套 软件 
呢 ! 


民 好 的 教育 训练 诬 程 : 


不 是 所 有 的 人 都 是 计算 机 网 络 高 手 ， 尤 其 虽然 现在 信息 爆炸 但 是 仍然 有 
很 多 的 机 


会 会 遇 到 计算 机 白 疾 呀 ! ”这 个 时 候 ， 要 晓得 的 是 ， 我 们 对 于 内 部 网 域 
通常 没有 
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0 


0 有 时 候 还 是 
心 VY 


亿 哩 一 所 以 说 ， 需 要 特别 的 教育 训练 诬 程 蚜 ! 这 也 是 公司 需要 网 管 的 主 
因 之 一 ! 


完善 的 备份 计划 : 


天 有 不 测 风 云 ， 人 有 旦 夕 褐 福 呀 ! 什么 人 都 不 知道 什么 时 候 会 有 大 地 
震 、 我 们 也 


都 不 知道 什么 时 候 会 突然 的 人 硬盘 挂 挥 去 一 ”所 以 说 ， 完 善 的 备份 计划 是 
相当 重要 


Re A 
统 被 入 











侵 ， 造 成 数据 的 损毁 时 ， 你 要 如 何 复原 你 的 主机 啊 ? 呵呵 ! 一 个 良好 的 
网 站 管理 


人 无 时 无 刻 都 会 进行 重要 数据 的 备份 的 ! 很 重要 啊 ! 这 一 部 份 请 
参考 一 下 


基础 学 习 篇 之 Linux 主机 备份 的 内 容 吧 ! 我 们 在 后 面 的 远程 联机 服务 需 
革 市 内 


也 会 提 到 一 个 很 棒 的 rsync 工具 ， 你 可 以 瞧 瞧 ! 
7.5.2 主机 受 攻击 后 复原 工作 流程 


所 谓 『 百 密 一 贾 」 啊 ， 人 不 是 神 ， 总 会 有 考虑 不 周 的 情况 ， 万 一 你 的 主 
机 就 因为 这 


[一 玻 」 导致 被 入 侵 了 ， ” 那 该 怎么 办 ?由 上 面 的 说 明 当 中 ， 我 们 知道 
[ 木 号 」 是 很 严 





重 的 ， 因 为 他 会 在 你 的 系统 下 开 个 后 门 (Back doon 让 攻击 者 可 以 登入 
你 的 主机 ， 而 


且 还 会 审改 你 Linux 上 面 的 程序 ， 让 你 找 不 到 该 木马 程序 ! 怎么 办 ? 
很 多 朋友 都 习惯 『 反 正 只 要 将 root 的 密码 改 回来 就 好 了 」 这 样 的 观 
扩 ， 事 实 上 ， 








那样 一 部 主机 还 是 有 被 做 为 中 继 站 的 危险 啊 ! 所 以 ， 万 一 你 的 主机 被 
入 侵 了 ， 最 好 的 


方法 还 是 『 重 新 安装 Linux 」 会 比较 干净 ! 


那 该 如 何 重 新 安装 呢 ? 很 多 朋友 一 再 地 安装 ， 却 一 再 地 被 入 侵 一 为 什么 
呢 ? 因为 他 


没有 『 记 取 教 训 」 啊 ! 呵呵 ! ” 属 下 我 们 就 来 谈 一 谈 ， 一 部 被 入 侵 的 主 
机 应 该 如 何 修复 


比较 好 ? 
1. 立即 拔除 网 络 线 : 


0 
最 简单 外 


作法 自然 就 是 拔 掉 网 络 线 了 ! ”事实 上 ， 拿 挥 网 络 线 最 主要 的 功能 除了 
保护 目 己 


之 外 ， 还 可 以 保护 同 网 域 的 其 他 主机 。 怎 么 说 呢 ? 举 个 2003 年 8 月 发 
病 的 疾 


0 
口 ， 远程 


的 | 就 无 法 进入 你 的 Linux 主机 ， 而 且 你 还 可 以 保护 网 域内 的 


全 


关 主 机 啊 ! 

















2. 分 析 登 录 文 件 信 息 ， 搜 寻 可 能 的 入 侵 途 径 : 


被 入 侵 之 后 ， 雇 不 是 只 要 重新 安装 就 好 ， 还 需要 额外 分 析 『 为 什么 我 
的 主机 这 


一 次 会 被 入 侵 ， 对 方 是 如 何 入 侵 的 ? 」， 如果 你 能 够 找 出 问题 点 ， 那 
么 不 但 你 


和 
可 找 出 
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SO 
受 啊 ! 净 


麻烦 的 啦 ! 好 了 ， 那 该 如 何 找 出 入 侵 的 途径 昵 ? 

o 分 析 登 录 档 : 低级 的 cracker 通 第 仅 是 利用 工具 软件 来 入 侵 你 的 系 

统 ， 所 以 我 们 可 以 夭 由 分 术 一 坚 主要 的 登录 档 来 找 出 对 方 的 IP 以 及 可 
能 


有 问题 的 漏洞 。 可 以 分 析 /var/log/messages, /var/log/secure 还 有 利 

用 last 指令 来 找 出 上 次 登入 者 的 信息 。 

o 检查 主机 开放 的 服务 : 很 多 Linux 用 户 常常 不 晓得 自己 的 系统 上 面 
人 








强 型 或 者 是 测试 型 功能 ， ”所 以 ， 找 出 你 系统 上 面 的 服务 ， 并 且 检 查 一 
下 





每 个 服务 是 否 有 漏洞 ， 或 者 是 在 设 定 上 面 有 了 缺失 ， 然 后 一 个 一 个 的 整 
理 


吧 ! 





o 查询 Internet 上 面 的 安全 通报 : 透 过 安全 通报 来 了 解 一 下 最 新 的 
漏洞 信息 ， 说 不 定 你 的 问题 就 在 上 面 ! 
3. 重要 数据 备份 : 


主机 被 入 侵 后 ， 显 得 问题 相当 的 严重 ， 为 什么 呢 ? 因为 主机 上 面 有 相当 
重要 的 数 


J Es 的 数据 ， “那么 直接 重新 安装 就 好 了 ! 所 
以 ， 航 入 


侵 之 后 ， 检 查 完 了 入 侵 途 笃 ， 再 来 就 是 要 备份 重要 的 数据 了 。 好 了 ， 


问 个 问题 ， 


什么 是 『 重 要 数据 」? who， ps， ls 等 等 指令 是 重要 数据 吗 ? 还 是 
httpd.conf 等 


配置 文件 是 重要 数据 ? 又 或 者 是 /etc/passwd，/etc/shadow 才 是 重要 数 
据 ? 

















ee 基本 上 ， 重 要 的 数据 应 该 是 『 非 Linux 系统 上 面 原 有 的 数据 」， 
列 如 


/etc/passwd, /etc/shadow, WWW 网 页 的 数据 , /home 里 面 的 用 户 重要 档案 
从 和 
可)， 


至 于 /etc/*, /usr/, /var 等 目录 下 的 数据 ， 就 不 见得 需要 备份 了 。 注意 : 


不 


要 备份 一 些 binary 执行 文件 ， 因 为 Linux 系统 安装 完毕 后 本 来 就 有 这 些 
档案 ， 


此 外 ， “这些 档案 也 很 有 可 能 『 已 经 被 窜改 过 了 」， 那 备份 这 些 数据 ， 
反而 造成 


下 次 系统 还 是 不 干 疤 ! 
4. 重新 全 新 安 六 : 








再 来 就 是 重新 安装 Linux 系统 了 。 而 在 这 次 的 安装 中 ， 
尔 最 好 


0 0000 
在 险 的 ! 


5. 软件 的 漏洞 修补 : 


记得 啊 ， 重 新 安装 完毕 之 后 ， 请 立即 更 新 你 的 系统 软件 ， 否 则 还 是 会 被 
入 侵 的 啦 ! 


马 哥 喜欢 先 在 其 他 比较 干净 的 环境 下 将 Internet 上 面 的 漏洞 修补 软件 下 
载 下 

来 ， 然 后 刻录 起 来 ， 人 然后 拿 到 自己 的 刚刚 安装 完成 的 系统 上 面 ，mount 
CD 之 后 


0 更 新 之 后 ， 并 且 设 定 了 相关 的 防火 墙 机 制 ， 同 时 进行 下 


步 又 








Se 000 因 
为 马丁 、~ 
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UU 毕 后 ， 连 上 Internet 去 更 新 软件 的 这 段 时 间 ， 会 不 会 又 
受到 入 


侵 攻击 说 .…. 
6. 关闭 或 移 除 不 需要 的 服务 : 


i 需要 再 讲 了 吧 ? ! 局 用 越 少 的 服务 ， 系 统 当然 可 以 被 入 侵 
可 能 性 


就 比较 低 。 








7. 数据 回复 与 恢复 服务 设 定 : 


刚刚 备 从 的 数 据 要 起 紧 的 复制 加 来 系统 ， 同 时 将 系统 的 服务 再 次 的 重新 
开放 ， 请 


注意 ， ”这 些 服务 的 设 定 最 好 能 够 再 次 的 确认 一 下 ， 避 免 一 些 不 恰当 的 
设 定 参数 


在 里 头 喔 ! 
8. 连 上 Internet: 


所 有 的 工作 都 进行 的 差不多 了 ， 那 么 才 将 刚刚 拿 挥 的 网 络 线 接 上 来 吧 ! 
恢复 主机 


的 运作 了 ! 


经 过 这 一 连 串 的 动作 后 ， 你 的 主机 应 该 会 恢复 到 比较 干净 的 环境 ， 此 时 
还 不 能 挥 以 


轻 心 ， 最 好 还 是 参考 防火 墙 的 设 定 ， 并 且 多 方面 的 参考 Internet 上 面 一 
些 老手 的 经 


验 ， 好 让 你 的 主机 可 以 更 安全 一 些 ! 
重点 回顾 

,要 管制 登入 服务 器 的 来 源 主机 ， 得 要 了 解 网 络 封包 的 特性 ， 这 主要 包 
和 


TCP/IP 的 封包 协议 ， 以 及 重要 的 Socket Pair ， 亦 即 来 源 与 目标 的 IP 与 
port 等 。 在 TCP 封包 方面 ， 则 还 得 了 解 SYN/ACK 等 封包 状态 ; 


加 网 络 封 包 要 进入 我 们 Linux 本 机 ， 至 少 需 要 通过 (1) 防火墙 (2) 服 务 本 





的 管理 (3)SELinux (4) 取 得 档案 的 rwx 权限 等 步 又 ; 


主机 的 基本 保护 之 一， 就 是 拥有 正确 的 权限 设 定 。 而 复杂 的 权限 设 定 
可 以 币 


用 ACL 或 者 是 SELinux 来 辅助 ; 

关闭 SELinux 可 在 /etc/selinux/config 档案 内 设 定 ， 亦 可 在 核心 功能 
加 入 selinux=0 的 项 目 ; 

rootkit 为 一 种 取得 root 的 工具 组 ， 你 可 以 利用 rkhunter 来 查询 你 主机 
是 否 被 植 入 rootkit; 

网 管 人 员 应 该 注意 在 员工 的 教育 训练 还 有 主机 的 完善 备份 方案 上 面 ; 
ees 的 黑客 软件 ， 几 乎 都 是 透 过 你 的 Linux 上 面 的 软件 漏洞 来 攻 





Linux 主机 的 ; 
软件 升级 是 预防 被 入 侵 的 最 有 效 方法 之 一 ; 
恨 好 的 登录 档 分 析 习 惯 可 以 在 短 时 间 内 发 现 系 统 的 漏洞 ， 并 加 以 修 
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课 后 练习 


我 老 是 发 现 我 的 系统 怪 怪 的 ， 似 乎 有 点 停顿 的 模样 ， 怀 疑 可 能 是 
CPU 负荷 
太 大 ， 所 以 要 去 检查 一 下 系统 相关 的 信息 。 请 问 ， 我 该 以 什么 指令 去 检 


\ 
一 内、 


统 相 关 的 信息 ? 





可 以 使 用 top, sar, free, ps -aux, uptime, last 等 功能 去 查询 系统 的 
相关 信息 喔 ! 然后 再 以 kill 之 类 的 指令 删除 ; 
我 怀疑 我 的 系统 上 面 有 过 多 的 具有 SUID 的 档案 存在 ， 导 致 一 般 使 用 


者 可 以 





随意 的 取得 root 的 权限 ， 请 问 ， 我 要 如 何 找 出 这 些 具 有 SUID 权限 的 档 
2 


因为 SUID 是 4000 这 个 权限 的 模样 ， 所 以 我 可 以 这 样 做 : 
find / -perm +4000 


我 由 国内 一 些 ftp 网 站 上 下 载 了 Red Hat 公司 释 出 的 软件 ， 我 想 安 闭 
他 ， 





人 请 问 我 该 如 何 确定 这 个 软件 的 
可 用 性 ? 


利用 最 简易 的 MD5 编码 来 测试 一 下 ， 例 如 『 md5sum 软件 名 称 」， 再 
比 对 


与 原始 软件 释 出 的 MD5 数据 是 否 相同 ! ? 

如 果 我 发 现 使 用 『 setfacl -m u:dmtsai:rwx /path/to/file 」 时 ， 系 统 
却 显示 『setfacl: Operation not supported」 ， 你 认为 是 哪里 出 问题 ? 
-3 filesystem 没有 局 用 ACL 文 持 ， 或 者 是 系统 的 核心 不 文 
寺 。 
请 先 使 用 mount -o remount,acl /mount_point 测试 看 能 耕 支 持 ACL ,大 
不 文 
持 时 ， 则 可 能 是 由 于 核心 版 本 太 旧 了 。 


如 果 要 设 定 dmtsai 可 以 使 用 /home/project 这 个 目录 (假设 home 已 


经 支持 ACL)， 在 该 目录 内 dmtsai 可 以 拥有 完整 的 权限 。 请 问 该 如 何 设 
定 该 目 


孙 ? 
除了 使 用 setfacl -m u:dmtsai:rwx /home/project 之 外 ， 还 需要 设 定 


setfacl -m m:rwx /home/project ， 因为 ACL 在 目录 方面 ， 必 须 透 过 用 户 
权 


力 及 mask 的 逻辑 运算 后 才能 生效 ! 
SELinux 是 否 为 防火 墙 ? 

SELinux 并 非 防火 墙 ， 他 是 用 来 作为 更 细部 权限 设 定 的 一 个 核心 模块 。 
良好 的 密码 规划 是 防备 主机 的 第 一 要 务 ， 请 问 Linux 系统 当中 ， 关 于 


密码 


相关 的 档案 与 规则 设 定 在 哪些 档案 里 面 ? 
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密码 的 设 定 规则 在 /etc/login.defs 里 面 ! 至 于 密码 档案 在 /etc/shadow 
内 ! 
简易 说 明 ， 当 一 部 主机 被 入 侵 之 后 ， 应 该 如 何 处 理 ? 
找 出 问题 、 重 新 安装 、 漏 洞 修补 、 数 据 还 原 ! 请 参考 本 章 最 后 一 节 的 说 
明 。 











参考 数据 与 延伸 阅读 





Fedora 的 SELinux FAQ:_ http://fedora.redhat.com/docs/selinux-faq/ 





SELinux 的 发 展 
Red Hat 之 RHEL 4 的 SELinux 指南 : 
http://www.redhat.com/docs/manuals/enterprise/RHEL-4-Manual/selinux-g 
uide/index.html 
美国 国家 安全 局 的 SELinux 简介 : http://www.nsa.gov/selinux/ 
Rootkit hunter: http:/www.rootkit.nl/projects/rootkit hunter.html 
2002/08/12: 第 一 次 完成 日 期 ! 
2003/08/23: 重新 编排 与 增加 重点 回顾 、 谍 后 练习 
2006/08/31: 将 旧 的 文章 移动 到 此 处 。 
2006/09/06: 增加 SELinux 的 简单 说 明 ， 增 加 ACL 的 控件 目 ! 
2010/09/06: 将 旧 的 基于 CentOS 4.x 撰写 的 文章 移动 至 此 处 。 
2010/09/09: 因为 单纯 使 用 CentOS ， 因 此 取消 了 apt 的 更 新 功能 嘿 ! 


2010/09/21: 将 旧 的 _ 限 制 联机 塌 口 与 网 络 升 级 软件 挪动 到 新 的 目录 去 
了 ! 


2010/09/21: 还 有 许多 数据 报 括 (1 重点 回顾 /2) 课 后 练习 /(3) 延 伸 阅 读 的 


部 分 都 还 没 
有 汇 整 好 。 只 是 先 公 告 这 一 版 而 已 。 
2011/07/20: 将 基于 CentOS 5.x 的 文章 移动 到 此 处 。 


2011/07/21: SELinux 还 真是 怪异 啊 ! 修改 成 CentOS 6.x 的 模样 啦 ! 
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最 近 更 新 日 期 : 2011/07/22 
如 果 说 IP 是 门牌 ， 那 么 邮差 如 何 走 到 你 家 就 是 『 路 由 」 的 功能 啦 ! 局 


域 网 络 如 果 想 成 是 条 臣子， 那么 


路 由 器 就 是 那 间 巷子 内 的 邮局 ! ”其实 本 章 应 该 是 第 二 章 网 络 基 础 的 延 
伸 ， 将 网 络 的 设 定 延 伸 到 整个 区 网 


的 路 由 器 上 而 已 。 那 何 时 会 用 到 路 由 器 ? 如果 你 的 环境 中 需要 将 整 批 
IP 再 区 隔 出 不 同 的 广播 区 段 时 ， 


那么 就 得 要 透 过 路 由 器 的 封包 转 递 能 力 了 。 本 章 是 下 一 章 防 火 墙 与 
NAT 的 基础 ， 得 先 看 完 才 比较 容易 


理解 下 一 章 想 要 讨论 的 事情 喔 ! 
8.1 路 由 


8.1.1 产生 的 类 型 














8.1.3 重复 里 和 问题 


8.28 号 如 设 
8.2.1 什么 是 路 由 器 与 IP 分享 器 : sysctl.conf 
8.2.2 何 时 需要 路 由 器 


8.2.3 静态 过 路 由 禹 


8.3 动态 咀 如 设 : quagga (zebra + ripd 











里 面谈 


生 | 过 路 由 的 相关 概念 ， ”他 最 大 的 功能 就 
是 在 帮 我 们 


规划 网 络 封 包 的 传递 方式 与 方向 。 至 于 路 由 的 观察 则 可 以 使 用 _route 这 
个 指令 来 查阅 


好 了 ， 那 么 路 由 的 形式 有 哪些 ?” 你 又 该 如 何 确认 路 由 是 否 
确 呢 ? 


8.1.1 路 由 表 产生 的 类 型 


如 同 第 二 章 网 络 基础 里 面谈 到 的 ， 每 一 部 主机 都 有 上 自己 的 路 由 表 ， 也 
就 是 说 ， 你 


必须 要 透 过 你 上 自己 的 路 由 表 来 传递 你 主机 的 封包 到 下 一 个 路 由 器 上 头 。 
各 传送 出 去 后 ， 


该 封包 就 得 要 透 过 下 一 个 路 由 器 的 路 由 表 来 传送 了 ， 此 时 与 你 自己 主机 
的 路 由 表 束 没有 


关系 啦 ! 所 以 说 ， 如 果 网 络 上 面 的 茶 一 部 路 由 器 设 定 错误 ， 那 .封包 的 
流 回 就 会 及 生 
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很 大 的 问题 。 我 们 就 得 要 透 过 traceroute 来 尝试 了 解 一 下 每 个 router 的 
封包 流 问 


鹃 。 





OK! 那 你 目 己 主机 的 路 由 表 到 底 有 哪些 部 分 呢 ? 我 们 以 确 下 这 个 路 由 
表 来 说 明 : 


[root@www ~]# route -na 

Kernel IP routing table 

Destination Gateway Genmask Flags Metric Ref Use 
Iface 

192.168.1.0 0.0.0.0 255.255.255.0U000 

eth0 <== 1 

169.254.0.0 0.0.0.0 255.255.0.0 U 1002 0 0 

eth0 <== 2 

0.0.0.0 192.168.1.254 0.0.0.0 UG 000 

eth0 <== 3 


首先 ， 我 们 得 知道 在 Linux 系统 下 的 路 由 表 是 由 小 网 域 排列 到 大 网 域 ， 
例如 上 面 的 路 


由 表 当 中 ， 路 由 是 由 『 192.168.1.0/24 --> 169.254.0.0/16 --> 0.0.0.0/0 ( 预 
设 路 


由 ) 」 来 排列 的 。 而 当主 机 的 网 络 封包 需要 传送 时 ， 就 会 查阅 上 述 的 三 
个 路 由 规则 来 


了 解 如 何 将 该 封包 传送 出 去 。  ” 那 你 会 不 会 觉得 奇怪 ， 为 什么 会 有 这 几 
个 路 由 呢 ? 其 实 


路 由 表 主 要 有 这 几 种 情况 来 设计 的 : 
依据 网 络 接口 产生 的 IP 而 存在 的 路 由 : 











例如 192.168.1.0/24 这 个 路 由 的 存在 是 由 于 乌 哥 的 这 部 主机 上 面 拥有 


192.168.1.100 这 个 IP 的 关系 ! 也 就 是 说 ， 你 主机 上 面 有 几 个 网 络 接口 
的 存 


在 时 ， 该 网 络 接口 吏 会 存在 一 个 路 由 才 对 。 ”所 以 说 ,万 一 你 的 主机 有 
两 个 网 络 


接口 时 ， 例 如 192.168.1.100, 192.168.2.100 时 ， 那 路 由 至 少 就 会 有 : 
[root@www ~]# ifconfig eth1 192.168.2.100 
[root@www ~]# route -n 
Destination Gateway Genmask Flags Metric Ref 
Use Iface 
192.168.2.0 0.0.0.0 255.255.255.0U00 
0 eth1 
192.168.1.0 0.0.0.0 255.255.255.0U00 
0 eth0 
169.254.0.0 0.0.0.0 255.255.0.0 U 1002 0 
0 eth0 
0.0.0.0 192.168.1.254 0.0.0.0 UG 0 0 
0 eth0 
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手动 或 预 设 路 由 (default route): 
你 可 以 使 用 route 这 个 指令 手动 的 给 予 额外 的 路 由 设 定 ， 例 如 那个 预 设 


路 由 
(0.0.0.0/0) 就 是 额外 的 路 由 。 使 用 route 这 个 指令 时 ， 最 重要 的 一 个 概 


念 是 : 
[你 所 规划 的 路 由 必须 要 是 你 的 装置 (如 eth0) 或 卫 可 以 直接 沟通 


(broadcast) 的 情况 」 才 行 。 举 例 来 说 ， 以 上 述 的 环境 来 看 ， 我 的 环境 里 
面 仅 


有 192.168.1.100 及 192.168.2.100 ， 那 我 如 果 想 要 连接 到 192.168.5.254 
这 个 路 由 器 时 ， 下达 : 

[root@www ~]# route add -net 192.168.5.0 \ 

> netmask 255.255.255.0 gw 192.168.5.254 

SIOCADDRT: No such process 

看 吧 ! 系统 就 会 响应 没有 办 法 连接 到 该 网 域 ， 因 为 我 们 的 网 络 接口 与 
有 根本 就 没有 关系 嘛 ! 那 如 果 192.168.5.254 真 的 是 在 我 们 











| 并 且 与 我 们 的 eth0 连接 在 一 起 ， 那 其 实 你 应 该 是 这 
羊 做 : 


[root@www ~]# route add -net 192.168.5.0 \ 

> netmask 255.255.255.0 dev eth0 

[root@www ~]# route -n 

Kernel IP routing table 

Destination Gateway Genmask Flags Metric Ref 


Use Iface 


192.168.5.0 0.0.0.0 255.255.255.0U00 
0 eth0 

192.168.2.0 0.0.0.0 255.255.255.0U00 
0 eth1 

192.168.1.0 0.0.0.0 255.255.255.0U00 
0 eth0 

169.254.0.0 0.0.0.0 255.255.0.0 U 1002 0 
0 eth0 

0.0.0.0 192.168.1.254 0.0.0.0 UG 0 0 

0 eth0 


这 样 你 的 主机 束 会 直接 用 eth0 这 个 装置 去 尝试 连接 192.168.5.254 了 ! 
另外 ， 





上 面 路 由 输出 的 重点 其 实 是 那个 TFlags 的 G 上 了:! 因为 那个 G 代表 使 
用 外 部 


的 装置 作为 Gateway 的 意思 ! 而 那个 Gateway (192.168.1.254) 必须 要 在 
我 们 


的 已 存在 的 路 由 环境 中 。 这 可 是 很 重要 的 概念 喔 ! 人 人 
动态 路 由 的 学 习 : 


除了 上 面 这 两 种 可 以 直接 使 用 指令 的 方法 来 增加 路 由 规则 之 外 ， 还 有 一 
种 透 过 路 


由 需 与 路 由 露 之 间 的 协商 以 达成 动态 路 由 的 环境 ， “不 过 ， 那 融 需 要 额 
外 的 软件 
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各 
支持 了 ， 例 如 : zebra (http://www.zebra.org/) 或 CentOS 上 面 的 Quagga 


(http:/www.quagga.net/) 这 几 个 软件 了 ! 


事实 上 ， 在 Linux 的 路 由 规则 都 是 透 过 核心 来 达成 的 ， 所 以 这 些 路 由 表 
的 规则 都 


是 在 核心 功能 内 啊 ! 也 就 是 在 内 存 当 中 喔 ! 和 和 
8.1.2 一 个 网 卡 绑 多 个 IP: IP Alias 的 测试 用 途 


我 们 在 第 五 童 的 ifconfig 指令 里 面谈 过 eth0:0 这 个 装置 吧 ? 这 个 装置 可 
以 在 


原本 的 eth0 上 面 模拟 出 一 个 虚拟 接口 出 来 ， 以 让 我 们 原本 的 网 络 卡 具 
有 多 个 了 了 ， 具 


了 





有 多 个 IP 的 功能 就 被 称 为 IP Alias 了 。 而 这 个 eth0:0 的 装置 可 以 透 过 
ifconfig 


或 ip 这 两 个 指令 来 达成 ， 关于 这 两 个 指令 的 用 途 请 翻 回去 之 前 的 章节 
阅读 ， 这 里 不 


再 浪费 篇 幅 啊 ! 


那 你 或 许 会 问 啊 : 『 这 个 IP Alias 有 哈 用 途 啊 ? 」 好 问题 ! 这 个 IP 
Alias 最 大 


的 用 途 就 是 可 以 让 你 用 来 『 应 急 ]! ”怎么 说 呢 ? 我 们 就 来 聊 一 聊 他 的 
儿 个 常见 的 用 途 


好 了 : 
测试 用 : 








怎么 说 用 来 测试 呢 ? 举例 来 说 ， 现 在 使 用 IP 分 享 器 的 朋友 很 多 吧 ， 而 
IP 分 分 享 


妖 的 设 定 通 常 是 使 用 WWW 接口 来 提供 的 。 这 个 IP 分 享 器 通常 会 给 予 
一 个 私有 


IP 亦 即 是 192.168.0.1 来 让 用 户 开 启 WWW 接口 的 浏览 。 问 题 来 了 了 ， 那 
你 要 如 


何 连接 上 这 部 IP 分 享 器 呢 ? 嘿嘿 ! 在 不 更 动 既 有 的 网 络 环境 下 ， 你 可 
以 直接 利 


用 : 


[root@www ~]# ifconfig [device] [ IP ] netmask [netmask ip] [upldownj 





[root@www ~]# ifconfig eth0:0 192.168.0.100 netmask 255.255.255.0 up 


来 建立 一 个 虚拟 的 网 络 接口 ， 这 样 就 可 以 立刻 连接 上 IP 分 享 嚣 了， 也 
不 会 更 动 


到 你 原本 的 网 络 参数 设 定 值 哩 ! 
企 一 个 实体 网 域 中 含有 多 个 IP 网 域 : 


另外 ， 如 宋 像 是 在 补习 班 或 者 是 学 校 单位 的 话 ， 由 于 原本 的 主机 网 络 设 
定 最 好 不 


要 随便 修改 ，“ 那 如 果 要 让 同学 们 大 家 互通 所 有 的 计算 机 信息 时 ， 束 可 
以 让 每 个 


同学 都 透 过 IP Alias 来 设 定 同一 网 域 的 IP ， 如 此 大 家 就 可 以 在 同一 个 
网 段 


内 进行 各 项 网 络 服务 的 测试 了 ， 很 不 错 吧 ! 
既 有 设备 无 法 提供 更 多 实体 网 卡 时 : 
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这 部 主机 需要 连接 多 个 网 域 ， 但 该 设备 却 无 法 提供 安装 更 多 的 
网 卡 昌 


你 只 好 揭 为 其 难 的 使 用 IP Alias 来 提供 不 同 网 段 的 联机 服务 了 ! 


不 过 ， 你 需要 知道 的 是 : 所 有 的 卫 Alias 都 是 由 实体 网 卡 仿真 来 的 ， 所 
以 当 要 局 


动 eth0:0 时 ，eth0 必须 要 先 被 启动 才 行 。 而 当 eth0 被 关闭 后 ， 所 以 
eth0:n 的 模 


拟 网 卡 将 同时 也 补 关 闭 。 这 得 移 要 了 解 才 行 ， “否则 篆 第 会 搞 错 局 动 的 
装置 啊 ! 在 路 由 


规则 的 设 定 当 中 ， 常 第 需要 进行 一 些 测试 ， 那 这 个 IP Alias 右派 的 上 用 
场 了 。 尤 其 


是 学 校 单 位 的 练习 环境 当中 ! 


基本 上 ， 除 非 有 特殊 需求 ， 否 则 建议 你 要 有 多 个 卫 时 ， 最 好 在 不 同 的 
网 卡 上 面 达 


成 ， 如 果 你 真 的 要 使 用 IP Alias 时 ， 那 么 如 何在 开机 的 时 候 束 启动 IP 
alias 呢 ? 方 


法 有 很 多 啦 ! 包括 将 上 面 用 ifconfig 启动 的 指令 写 入 /etc/rc.d/rc.local 档 
案 中 





(但 使 用 /etc/init.d/metwork restart 时 ， 该 IP alias 无 法 被 重新 启动 )， 但 鸟 


个 人 比较 建议 使 用 如 下 的 方式 来 处 理 : 

透 过 建立 /etc/sysconfig/network-scripts/ifcfg-eth0:0 配置 文件 
党 例 来 次 ， 你 可 以 透 过 底下 这 个 方法 来 建立 一 个 虚拟 设备 的 配置 文件 
2 。 





[root@www ~]# cd /etc/sysconfig/network-scripts 


[root@www network-scripts]# vim ifcfg-eth0:0 
DEVICE=eth0:0 <== 相 当 重 要 ! 一 定 要 与 文件 名 相同 的 装置 代 与 ! 


ONBOOT=yes 





BOOTPROTO=static 
IPADDR=192.168.0.100 
NETMASK=255.255.255.0 

[root@www network-scripts]# ifup eth0:0 
[root@www network-scripts]# ifdown eth0:0 


[root@www network-scripts]# /etc/init.d/network restart 


关于 装置 的 配置 文件 案 内 的 更 多 参数 说 明 ， 请 参考 第 四 童 4.2.1 手动 设 


下 IP 








参数 的 相关 说 明 ， 在 此 不 再 叙述 ! 使 用 这 个 方法 有 个 好 处 ， 就 是 当 你 
使 用 


『 /etc/init.d/network restart 」 时， 系统 依旧 会 使 用 你 的 ifcfg-eth0:0 档 


案 内 的 设 定 值 来 后 动 你 的 虚拟 网 卡 喔 ! 另外 ， 不 论 ifcfg-eth0:0 ”内 的 
ONBOOT 


设 定 值 为 何 ， 只 要 ifcfg-eth0 这 个 实体 网 卡 的 配置 文件 中 ，ONBOOT 为 
yes 时 ， 


开机 就 会 将 全 部 的 eth0:n 都 启动 。 


透 过 这 个 简单 的 方法 ， 你 就 可 以 在 开机 的 时 候 启 动 你 的 虚拟 接口 而 取得 
多 个 了 P 在 


同一 张 网 卡 上 上 了。 不 过 需要 注意 的 是 ， 如 果 你 的 这 张 网 卡 分 别 透 过 
DHCP 以 及 手动 的 











方式 来 设 定 你 的 卫 参数 ， 那 么 dhcp 的 取得 务必 使 用 实体 网 卡 ， 亦 即 是 
eth0 之 类 的 


网 卡 代号 ， 而 手动 的 就 以 eth0:0 之 类 的 代号 来 设 定 较 佳 。 
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Tips: 

在 旧版 的 CentOS 4.x 中 ， 如 果 你 的 eth0 是 使 用 DHCP 来 取得 卫 

参数 的 话 ， 那 么 由 于 ifup 及 /etc/init.d/network 这 两 个 

script 内 程序 代码 撰写 的 方式 ， 将 会 导致 ifcfg-eth0:0 这 个 配置 

文件 不 会 被 使 用 到 喔 ! 不 过 这 个 问题 在 CentOS 5.x 以 后 的 版 本 中 

已 经 被 克服 虽 ! 

8.1.3 重复 路 由 的 问题 

很 多 朋友 可 能 都 有 一 个 可 爱 的 想法 ， 那 就 是 : 『 我 可 不 可 以 利用 两 张 网 
卡 ， 利用 

两 个 相同 网 域 的 IP 来 增加 我 这 部 主机 的 网 络 流量 ]? 事实 上 这 是 一 个 
可 行 的 方案 ， 不 


过 必须 要 透 过 许多 的 设 定 来 达成 ， 耕 你 有 需求 的 话 ， 可 以 参考 网 中 人 大 
哥 写 的 这 一 篇 


[1 


带宽 人 负载 平衡 (http://www.study-area.org/tips/multipath.htm) 


如 果 只 是 单纯 的 以 为 设 定好 两 张 网 卡 的 卫 在 同一 个 网 域 束 能 够 增加 你 
主机 的 两 


音 流 量 ， 那 可 就 大 错 特 错 了 一 为 什么 呢 ? 还 记得 我 们 在 路 由 表 规 则 里 
面 提 过 网 络 封包 


的 传递 主要 是 依据 主机 内 的 路 由 表 规 则 吧 ! 那 如 果 你 有 两 张 网 络 卡 


言 县 请 思考 ， 不 用 实 作 ! ) 
eth0 : 192.168.0.100 
ethl : 192.168.0.200 
那 你 的 路 由 规则 会 是 如 何 呢 ? 理论 上 会 变 成 这 样 : 
[root@www ~]# route -n 
Kernel IP routing table 
Destination Gateway Genmask Flags Metric Ref Use 
Iface 
192.168.0.0 0.0.0.0 255.255.255.0U000 
eth1 
192.168.0.0 0.0.0.0 255.255.255.0U000 
eth0 


也 就 是 说 ，(1) 当 要 主动 发 送 封 包 到 192.168.0.0/24 的 网 域 时 ， 都 只 会 透 
过 第 一 条 规 


则 ， 也 就 是 透 过 ethl 来 传 出 去 ! (2) 在 响应 封包 方面 ， 不 管 是 由 eth0 还 





是 由 ethl 


进来 的 网 络 封 包 ， 都 会 透 过 ethl 来 回 传 ! 这 可 能 会 造成 一 些 问 题 ， 尤 
其 是 一 些 防火 墙 


的 规则 方面 ， 很 可 能 会 发 生 一 些 严重 的 错误 ， ”如 此 一 来 ， 根 本 没有 办 
法 达成 负载 平衡 ， 


也 不 会 有 增加 网 络 流量 的 效果 ! ”更 惨 的 是 ， 还 可 能 发 生 封 包 传递 错误 
的 情况 响 ! 所 以 


说 ， 同 一 部 主机 上 面 设 定 相同 网 域 的 IP 时 ， 得 要 特别 留意 你 的 路 由 规 
则 ， 一 般 来 说 ， 


不 应 该 设 定 同一 的 网 段 的 不 同 IP 在 同一 部 主机 上 面 。 例如 上 面 的 案例 
就 是 一 个 不 好 


的 示范 啊 ! 
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-eo 


Tips: 

为 什么 会 特别 强调 这 个 观念 呢 ? 大 约 2000 年 前 后 ， 乌 哥 刚 接触 
Linux 时 ， 由 于 当时 的 网 络 速度 相当 缓慢， 为 了 提升 网 络 流量 乌 册 
费 尽 心思 啊 一 后 来 想到 说 ， 如 果 有 两 片 网 卡 ， 不 吏 可 以 增加 流量 了 


吗 ? 于 是 就 设 定 了 两 个 同 网 域 的 卫 在 一 部 主机 的 两 张 网 卡 上 ， 结 
果 呢 ?很 多 服务 部 无 法 连通 了 ! 束 是 因为 痛 过 ， 所 以 才 有 更 强烈 的 
印象 啊 ! 错误 经 验 学 习 法 则 人 和信! 

8.2 路 由 器 架设 


我 们 知道 在 局 域 网 络 里 面 的 主机 可 以 透 过 广播 的 方式 来 进行 网 络 封 包 的 
传送 ， 但 在 


不 同 网 段 内 的 主机 想 要 互相 联机 时 ， 惑 得 要 透 过 路 由 需 了 。 ”那么 什么 
是 路 由 器 ?他 的 


主要 功能 是 什么 ? 底下 我 们 就 来 聊 一 聊 ! 
8.2.1 什么 是 路 由 器 与 卫 分 享 器 


既然 主机 想 要 将 数据 传送 到 不 同 的 网 域 时 得 透 过 路 由 器 的 帮忙 ， 所 以 
啦 ， 路 由 器 的 


主要 功能 就 是 : 
ee IP 表 
在 表 头 内 找 出 要 送 达 的 目标 IP 后 ， 透 过 路 由 需 本 上身 的 路 由 表 (routing 
table) 来 将 


这 个 封包 向 下 一 个 目标 (next hop) 传送 。 这 束 是 路 由 器 的 功能 。 那么 路 
由 右 的 功能 


可 以 如 何 达成 呢 ? 目前 有 两 种 方法 可 以 达成 : 
硬件 功能 : 例如 Cisco, TP-Link, D-Link ( 注 2) 等 公司 都 有 生产 硬件 路 


由 器 ， 这些 路 由 器 内 有 瞬 入 式 的 操作 系统 ， 可 以 负责 不 同 网 域 间 的 封 
包 转 译 与 











转 递 等 功能 ; 
P00 
和 
式 ， 通 常 .… 


价格 也 不 便宜 啊 ! ”在 这 个 章节 里 面 ， 我 们 并 没有 要 探讨 这 么 高 阶 的 噬 
唉 ， 仪 讨论 在 以 


太 网 络 里 头 最 简单 的 路 由 器 功能 : 连接 两 个 不 同 的 网 域 。 嘿 嘿 ! 这 个 
功能 Linux 个 人 


计算 机 就 可 以 达成 了 ! 那 怎 么 达成 呢 ? 
打开 核心 的 封包 转 递 (IP forward) 功能 
就 如 同 路 由 表 是 由 Linux 的 核心 功能 所 提供 的 ， 这 个 转 递 封 包 的 能 力也 


是 Linux 


核心 所 提供 ， 那 如 何 观 察 核 心 是 否 已 经 有 局 动 封包 转 递 呢 ? 很 简单 
啊 ， 观 察 核 心 功能 


的 显示 档案 即 可 ， 如 下 所 示 : 








[root@www ~]# cat /proc/sys/net/ipv4/ip_forward 
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0 <== 0 代表 没有 启动 ，1 代表 启动 了 

要 让 该 档案 的 内 容 变 成 启动 值 1 最 简单 的 方 是 就 是 使 用 : [Techo 1 > 


/proc/sys/net/ipv4/ip_forward」 即 可 。 不 过 ， 这 个 设 定 结果 在 下 次 重新 启 
动 后 惑 会 


失效 。 因 此 ， 鸟 可 建议 您 直接 修改 系统 配置 文件 的 内 容 ， 那 就 是 
/etc/sysctl.conf 来 


达成 开机 启动 封包 转 递 的 功能 喔 。 

[root@www ~]# vim /etc/sysctl.conf 

# 将 底下 这 个 设 定 值 修改 正确 即 可 ! (本 来 值 为 0， 将 它 改 为 1 即 可 ) 
net.ipv4.ip_forward = 1 

[root@www ~]# sysctl -p <== 立 刻 让 该 设 定 生效 


sysct 这 个 指令 是 在 核心 工作 时 用 来 直接 修改 核心 参数 的 一 个 指令 ， 更 
多 的 功能 可 以 


参考 man sysctl 查询 。 不 要 怀疑 ! 只 要 这 个 动作 ， 你 的 Linux 就 具有 最 
简单 的 路 由 


融 功 能 了 。 而 由 于 Linux 路 由 器 的 路 由 表 设 定 方法 的 不 同 ， 通 常 路 由 器 
规划 其 路 由 的 


方式 束 有 两 种 : 
0 直接 以 类 似 route 这 个 指令 来 直接 设 定 路 由 表 到 核心 功能 











设 定 值 只 要 与 网 域 环 境 相符 即 可 。 “不 过 ， 当 你 的 网 域 有 变化 时 ， 路 由 
铝 就 得 要 


重新 设 定 ; 


动态 路 由 : 透 过 类 似 Quagga 或 zebra 软件 的 功能 ， 这 些 软件 可 以 安 
装 在 


Linux 路 由 器 上 ， 而 这 些 软件 可 以 动态 的 侦 测 网 域 的 变化 ， 并 直接 修改 


Linux 
核心 的 路 由 表 信 息 ， 你 无 须 手动 以 route 来 修改 你 的 路 由 表 信 息 喔 ! 


了 解 了 路 由 器 之 后 ， 接 下 来 你 可 能 需要 了 解 到 什么 是 NAT (Network 
Address 





Translation, 网 络 地 址 转换 ) 服务 器 ， NAT 是 啥 ? 其 实 IP 分 享 器 就 是 最 
简单 的 NAT 


服务 器 啦 ! 嘿嘿 ， 了 解 了 吗 ? 没 错 ，NAT 可 以 达成 卫 分 享 的 功能 ， 而 
NAT 本 身 就 


是 一 个 路 由 器 ， 只 是 NAT 比 路 由 器 多 了 一 个 『 IP 转换 上 的 功能 。 怎 么 
说 呢 ? 


一般 采 襄 ， 路 由 器 会 有 两 个 网 络 接口 ， 透 过 路 由 器 本 身 的 IP 转 递 功 


能 让 两 


个 网 域 可 以 互相 沟通 网 络 封包 。 那 如 果 两 个 接口 一 边 是 公共 IP (public 
IP) 但 


一 边 是 私有 IP (private IP) 呢 ? 由 于 私有 IP 不 能 直接 与 公共 IP 沟通 其 
路 


由 信息 ， 此 时 就 得 要 额外 的 『 IP 转译 」 功 能 了 ; 


Linux 的 NAT 服务 器 可 以 透 过 修改 封包 的 IP 表 头 数据 之 来 源 或 目标 
IP ， 


让 来 自私 有 IP 的 封包 可 以 转 成 NAT 服务 器 的 公共 IP ， 就 可 以 连 上 
Internet ! 


所 以 说 ， 当 路 由 器 两 端的 网 域 分 别 是 Public 与 Private IP 时 ， 才 需要 
NAT 的 





功能 ! NAT 功能 我 
路 由 器 而 已 啊 ! 


和 人 和 
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0 


oO 

8.2.2 何 时 需要 路 由 器 

0 
| 





hub/switch 串 接 各 部 计算 机 ， 然后 透 过 单一 线路 连接 到 Internet 上 即 
团 坟 不 过 如 


果 是 超过 数 百 部 计算 机 的 大 型 企业 环境 ， ”由 于 他 们 的 环境 通常 需要 考 
虑 如 下 的 状况 ， 


因此 才 和 需要 路 由 絮 的 架设 : 
实体 线路 之 布线 及 效能 的 考虑 : 
在 一 栋 大 楼 的 不 同 楼 层 要 串 接 所 有 的 计算 机 可 能 有 点 难度 ， 那 可 以 透 过 


每 个 楼 层 


架设 一 部 路 由 器 ， “并 将 每 个 楼 层 路 由 器 相连 接 ， 就 能 够 简单 的 管理 各 
楼 层 的 网 


此 外 ， 如 有 果 各 楼 层 不 想 架 设 路 由 器 ， 而 是 直接 以 网 络 线 串 接 各 楼 


hub/switch 时 ， 那 由 于 同一 网 域 的 数据 是 透 过 广播 来 传递 的 ， 那 当 整 个 
大 楼 的 


某 一 部 计算 机 在 广播 时 ， ”所 有 的 计算 机 将 会 予以 回应 ， 哇 ! 会 造成 大 
楼 内 网 络 


效能 的 问题 ， 所 以 架设 路 由 器 将 实体 线路 分 阳 ， ” 束 有 助 于 这 方面 的 网 
络 效能 ; 


部 门 独立 与 保护 数据 的 考虑 : 














只 要 实体 线路 是 连接 在 一 


起 的 ， 那 


en 
最 ， 


且 了 予以 贸 取 一 所 以 ， 如 果 你 的 部 门 之 间 的 数据 可 能 需要 独立 ， ”或 者 是 
某 些 重要 


的 数据 必须 要 在 公司 内 部 也 予以 你 护 时 ， 可 以 将 那些 重要 的 计算 机 放 到 


一 个 独立 
的 实体 网 域 ， 并 额外 加 设防 火 墙 、 路 由 器 等 连接 上 公司 内 部 的 网 域 。 


路 由 器 就 只 是 一 个 设备 ， 要 如 何 使 用 端 看 你 的 网 络 环境 的 规划 ! 上 面 仅 
是 举 出 一 些 


应 用 案例 。 底下 我 们 先 就 架设 一 个 静态 路 由 的 路 由 器 来 玩 一 玩 吧 ! 
8.2.3 静态 路 由 之 路 由 器 


假设 在 贯 公司 的 网 络 环境 当中 ， 除 了 一 般 职 员 的 工作 用 计算 机 是 直接 连 
接 到 对 外 的 


路 由 器 来 连结 因特网 ， ”在 内 部 其 实 还 有 一 个 部 门 需要 较 安全 的 独立 环 
境 ， 因 此 这 部 份 


的 网 络 规划 可 能 是 这 样 的 情况 (参考 图 3.2-1 内 容 延 伸 而 来 ): 
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IP: public JP 

了 P 内 : 192.168.1.254/24 

Routing: 192.168.100.024 -> Linux router 
Default gateway: 外 部 (ISP 混 供 ) 


Router A 













Linux Router 

了 了 外 : 192.168.1.100/24 

[P 内 ; 192.168.100.2S4/24 
Default gateway: 192.168,.1.254 





A 





workstation 
IP: 192.168.1.101 | 
Default gateway: 192.168.1.254 | 
Option (HA Linux router) 


; clientlinux winxp win7 | 
i 192.168.100.10 192.168.100.20 192.168.100.30 | 
: Default gateway: 192.168.100.254 i 


Doman nnn 


图 8.2-1、 静 态 路 由 之 路 由 器 架构 示意 图 

以 上 图 的 架构 来 说 ， 这 家 公司 主要 有 两 个 class C 的 网 段 ， 分 别 是 : 
一 般 区 网 (192.168.1.0/24) : 包括 Router A, workstation 以 及 Linux 

Router 三 部 主机 所 构成 ; 
保护 内 网 (192.168.100.0/24): 包括 Linux Router, clientlinux, winxp， 

win7 等 主机 所 构成 。 

其 中 192.168.1.0/24 是 用 来 做 为 一 般 员 工 连接 因特网 用 的 ， 人 至 于 





192.168.100.0/24 则 是 给 特殊 的 部 门 用 的 。workstation 代表 的 是 一 般 员 


工 的 计算 机 ， 


clientlinux 及 winxp, win7 则 是 特殊 部 门 的 工作 用 计算 机 ， Linux Router 


则 是 这 





个 特殊 部 门 用 来 连接 到 公司 内 部 网 域 的 路 由 器 。 在 这 样 的 架构 下 ， 该 
特殊 部 门 的 封包 


就 能 够 与 公司 其 他 部 门 作 实 体 的 分 隅 了 。 


由 上 图 你 也 不 难 发 现 ， 只 要 是 具有 路 由 颖 功能 的 设备 (Router A，Linux 
Router) 


都 会 具有 两 个 以 上 的 接口 ， ”分 别 用 来 沟通 不 同 的 网 域 ， 同 时 该 路 由 器 
也 都 会 具有 一 个 


预 设 路 由 啊 ! 人 和 人! 另外 ， 你 还 可 以 加 上 一 些 防 火 墙 的 软件 在 ”Linux 
Router 上 ， 以 





保护 clientlinux, winxp, win7 呢 ! 


Ds 先 从 ”clientlinux 这 部 计算 机 谈 
己 。 加 


clientlinux 想 要 连 上 Internet， 那 么 他 的 联机 情况 会 是 如 何 ? 

发 起 联机 需求 : dlientlinux --> Linux Router --> Router A --> Internet 
net.giang(@hotmail.com 

啊 应 联机 需求 : Internet --> Router A --> Linux Router --> clientlinux 


观察 一 下 两 部 Router 的 设 定 ， 要 达到 上 述 功能 ， 则 Router A 必须 要 有 
两 个 接口 ， 
一 个 是 对 外 的 Public IP 一 个 则 是 对 内 的 Private IP ， 因 为 卫 的 类 别 不 
同 ， 因 此 


Router A 还 需要 额外 增加 NAT 这 个 机 制 才 行 ， 这 个 机 制 我 们 在 后 续 章 
节 会 继续 谈 到 。 


除 此 之 外 ，Router A 并 不 需要 什么 额外 的 设 定 。 至 于 Linux Router 就 更 
简单 了 ! 什 


么 事 都 不 用 作 ， 将 两 个 网 络 适配器 设 定 两 个 IP ， 并 且 启 动 核心 的 封包 
转 弟 功能， 六 


刻 束 架设 完毕 了 ! 非常 简单 ! 我 们 就 来 谈 一 谈 这 几 个 机 器 的 设 定 吧 ! 
Linux Router 


在 这 部 主机 内 需要 有 两 张 网 卡 ， 鸟 哥 在 这 里 将 他 定义 为 (假设 你 已 经 将 
刚刚 实 作 的 


eth0:0 取消 邱 了 ): 


eth0: 192.168.1.100/24 





eth1: 192.168.100.254/24 
#1. 再 看 看 eth0 的 设 定 吧 ! 虽然 我 们 已 经 在 第 四 章 融 搞定 了 : 
[root@www ~]# vim /etc/sysconfig/network-scripts/ifcfg-ethO0 
DEVICE="ethO" 
HWADDR="08:00:27:71:85:BD" 
NM_ CONTROLLED="no" 
ONBOOT="yes" 
BOOTPROTO=none 
IPADDR=192.168.1.100 
NETMASK=255.255.255.0 


GATEWAY=192.168.1.254 ” <== 最 重要 的 设 定 啊 ! 透 过 这 部 主机 连 出 去 
的 ! 


#2. 再 处 理 ethl 这 张 之 前 一 直 都 没有 驱动 的 网 络 卡 吧 ! 


[root@www ~]# vim /etc/sysconfig/network-scripts/ifcfg-eth1 
DEVICE="eth1" 

HWADDR="08:00:27:2A:30:14" 

NM_ CONTROLLED="no" 

ONBOOT="yes" 

BOOTPROTO="none" 

IPADDR=192.168.100.254 

NETMASK=255.255.255.0 


#3. 局 动 IP 转 递 ， 真 的 来 实 作成 功 才 行 ! 





[root@www ~]# vim /etc/sysctl.conf 

net.ipv4.ip_forward = 1 
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# 找到 上 述 的 设 定 值 ， 将 默认 值 0 改 为 上 述 的 1 即 可 ! 储存 后 离开 去 ! 
[root@www ~]# sysctl -p 

[root@www ~]# cat /proc/sys/net/ipv4/ip_forward 

1 <== 这 就 是 重点 ! 要 是 1 才 可 以 哟 ! 

#4. 重新 局 动 网 络 ， 并 且 观 察 路 由 与 ping Router A 

[root@www ~]# /etc/init.d/network restart 

[root@www ~]# route -na 


Kernel IP routing table 


Destination Gateway Genmask Flags Metric Ref 

Use Iface 

192.168.100.0 0.0.0.0 255.255.255.0U00 

0 eth1 

192.168.1.0 0.0.0.0 255.255.255.0U00 

0 eth0 

0.0.0.0 192.168.1.254 0.0.0.0 UG 0 0 

0 eth0 

# 上 面 的 重点 在 于 最 后 面 那 个 路 由 峰 的 设 定 是 否 正确 吻 ! 
[root@www ~1# ping -c 2 192.168.1.254 

PING 192.168.1.254 (192.168.1.254) 56(84) bytes of data. 

64 bytes from 192.168.1.254: icmp_seq=1l ttl=64 time=0.294 ms 
64 bytes from 192.168.1.254: icmp_seq=2 ttl=64 time=0.119 ms <== 有 回 
应 即 可 

# 5. 暂时 关闭 防火 墙 ! 这 一 步 也 很 重要 喔 ! 

[root@www ~|]# /etc/init.d/iptables stop 


有 够 简单 吧 ! 而 且 透 过 最 后 的 ping 我 们 也 知道 Linux Router 可 以 连 上 
Router A 呢 ! 


这 样 你 的 Linux Router 束 OK 了 响 ! 此 外 ，CentOS 6.x 默认 的 防火 墙 规 
则 会 将 来 上 自 


不 同 网 卡 的 沟通 封包 剔除 ， 所 以 还 得 要 和 暂时 关闭 防火 场 才 行 。 接 下 来 


则 是 要 设 定 
clientlinux 这 个 被 保护 的 内 部 主机 网 络 哆 。 
受 保护 的 网 域 ， 以 clientlinux 为 例 


不 论 你 的 dientlinux 是 哪 一 种 操作 系统 ， 你 的 环境 都 应 该 是 这 样 的 (图 
B21): 


IP: 192.168.100.10 





netmask: 255.255.255.0 

gateway: 192.168.100.254 

hostname: clientlinux.centos.vbird 
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DNS: 168.95.1.1 


以 Linux 操作 系统 为 例 ， 并 且 dlientlinux 仅 有 eth0 一 张 网 卡 时 ， 他 的 设 
定 是 


这 样 的 : 

[root@clientlinux ~]# vim /etc/sysconfig/network-scripts/ifcfg-ethO0 
DEVICE="ethO" 

NM _ CONTROLLED="no" 

ONBOOT="yes" 

BOOTPROTO=none 

IPADDR=192.168.100.10 


NETMASK=255.255.255.0 


GATEWAY=192.168.100.254 <== 这 个 设 定 最 重要 啦 ! 
DNS1=168.95.1.1 <== 有 这 个 就 不 用 自己 改 /etc/resolv.conf 
[root@clientlinux ~]# /etc/init.d/network restart 
[root(@clientlinux ~]# route -n 

Kernel IP routing table 

Destination Gateway Genmask Flags Metric Ref 

Use Iface 

192.168.100.0 0.0.0.0 255.255.255.0U10 

0 eth0 

169.254.0.0 0.0.0.0 255.255.0.0 U 1002 0 

0 eth0 

0.0.0.0 192.168.100.254 0.0.0.0 UG 0 0 

0 eth0 

[root@clientlinux ~]# ping -c 2 192.168.100.254 <==ping 自己 的 
gateway( 会 成 功 ) 

[root@clientlinux ~]# ping -c 2 192.168.1.254 <==ping 外 部 的 
gateway( 会 失败 ) 


最 后 一 个 动作 有 问题 顺 ! 怎么 会 连 ping 都 没有 办 法 ping 到 Router A 的 
IP 呢 ? 如 


果 连 ping 都 没有 办 法 给 予 啊 应 的 话 ， 那么 表示 我 们 的 联机 是 有 问题 
的 ! 再 从 刚刚 的 


响应 联机 需求 流程 来 看 一 下 吧 ! 

发 起 联机 : dlientlinux --> Linux Router (OK) --> Router A (OK) 

回应 联机 : Router A (此 时 router A 要 响应 的 目标 是 192.168.100.10)， 
Router A 仅 有 public 与 192.168.1.0/24 的 路 由 ， 所 以 该 封包 会 由 public 
界面 再 传 出 去 ， 因 此 封包 就 回 不 来 了 .… 


发 现 了 吗 ? 网 络 是 双 同 的 ， 此 时 封包 出 的 去 ， 但 是 非常 可 怜 的 ， 封 包 回 
不 来 一 那 怎 


办 有 昵 ? 只 好 告知 Router A 当 路 由 规则 磁 到 192.168.100.0/24 时 ， 要 将 该 


封包 传 


192.168.1.100 束 是 了 ! 所 以 你 要 这 样 进行 。 
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特别 的 路 由 规则 :， Router A 所 需 路 由 


假设 我 的 Router A 对 外 的 网 卡 为 eth1 ， 而 内 部 的 192.168.1.254 则 是 设 
定 在 


eth0 上 头 。 那 怎 么 在 Router A 增加 一 条 路 由 规则 呢 ? 很 简单 啊 ! 直接 
使 用 route add 


去 增加 即 可 ! 如 下 所 示 的 情况 : 
[root@routera ~]# route add -net 192.168.100.0 netmask 255.255.255.0 \ 
> gw 192.168.1.100 


不 过 这 个 规则 并 不 会 写 入 到 配置 文件 ， 因 此 下 次 重新 启动 这 个 规则 就 不 
见 了 ! 所 以 ， 你 


应 该 要 建立 一 个 路 由 配置 文件 。 由 于 这 个 路 由 是 依附 在 eth0 网 卡 上 
的 ， 所 以 配置 文 





件 的 档 名 应 该 要 是 route-eth0 喔 ! 这 个 配置 文件 的 内 容 当 中 ， 我 们 要 设 
定 


192.168.100.0/24 这 个 网 域 的 gateway 是 192.168.1.100， 且 是 透 过 eth0 
， 那 么 写 


法 就 会 变 成 : 

[root@routera ~]# vim /etc/sysconfig/network-scripts/route-eth0 
192.168.100.0/24 via 192.168.1.100 dev eth0 

目标 网 域 透 过 的 gateway 装置 

[root(Oroutera ~]#Toute -n 

Destination Gateway Genmask Flags Metric Ref 
Use Iface 

120.114.142.0 0.0.0.0 255.255.255.0U00 

0 eth1 

192.168.100.0 192.168.1.100 255.255.255.0 UG 0 0 
0 eth0 

192.168.1.0 0.0.0.0 255.255.255.0U00 

0 eth0 

169.254.0.0 0.0.0.0 255.255.0.0U00 

0 eth1 

0.0.0.0 120.114.142.254 0.0.0.0 UG 0 0 


0 eth1 





上 述 观察 的 重点 在 于 有 没有 出 现 ”192.168.100.0 “ 那 行 路 由 ! 如 果 有 的 
话 ， 请 ping 


192.168.100.10 看 看 能 不 能 有 回应 ? 然后 再 到 clientlinux 上 面 去 ping 


192.168.1.254 看 看 有 没有 啊 应 ， 你 就 知道 设 定 成 功 哆 ! 好 了 ， 既 然 内 部 
保护 网 络 已 经 


可 以 连 上 Internet 了， 那么 是 否 代 表 clientlinux 可 以 直接 与 一 般 员 工 的 
网 域 ， 例 


如 ”workstation ”进行 联机 呢 ? 我 们 依旧 透 过 路 由 规则 来 探讨 一 下 ， 当 


clientlinux 要 


直接 联机 到 workstation 时 ， 他 的 联机 方 问 是 这 样 的 (参考 图 8.2-1): 
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联机 发 起 : clientlinux --> Linux Router (OK) --> workstation (OK) 
回应 联机 : workstation (联机 目标 为 192.168.100.10， 因 为 并 没有 该 路 


由 规则 ， 因 此 联机 丢 给 default gateway， 亦 即 是 Router A) --> Router A 
(OK) 


--> Linux Router (OK) --> clientlinux 


有 没有 发 现 一 个 很 可 爱 的 传输 流程 ? 联机 发 起 是 没有 问题 啦 ， 不 过 呢 ， 
啊 应 联机 葛 


然 会 偷偷 透 过 Router A 来 帮 愉 哟 ! 这 是 因为 workstation 与 当初 的 
Router A 一 样 ， 


并 不 知道 192.168.100.0/24 在 192.168.1.100 里 面 啦 ! 不 过 ， 反 正 Router 
A 已 经 


知道 了 该 网 域 在 Linux Router 内 ， 所 以 ， 该 封包 还 是 可 以 顺利 的 回 到 


clientlinux 束 


二 可 5 
让 workstation 与 clientlinux 不 透 过 Router A 的 沟通 方式 
如 果 你 不 想 要 让 workstation 得 要 透 过 Router A 才能 够 联机 到 clientlinux 


的 话 ， 那 么 就 得 要 与 Router A 相同 ， 增 加 那 一 条 路 由 规则 嗓 ! 如 果 是 
Linux 的 系统 ， 


那么 如 同 Router A 一 样 的 设 定 如 下 : 
[root@workstation ~]# vim /etc/sysconfig/network-scripts/route-eth0O 
192.168.100.0/24 via 192.168.1.100 dev eth0 
[rootfODworkstation ~]# /etc/init.d/network restart 
[root@www ~]# route -n 

Kernel IP routing table 

Destination Gateway Genmask Flags Metric Ref Use 
Iface 

192.168.1.0 0.0.0.0 255.255.255.0U000 

eth0 

192.168.100.0 192.168.1.100 255.255.255.0 UG 000 
eth0 

169.254.0.0 0.0.0.0 255.255.0.0U000 

eth0 

0.0.0.0 192.168.1.254 0.0.0.0 UG 000 


eth0 


最 后 只 要 dlientlinux 使 用 ping 可 以 连 到 workstation， 同 样 的 ， 
workstation 也 


可 以 ping 到 clientlinux 的 话 ， 就 表示 你 的 设 定 是 OK 的 啦 ! 搞定 ! 而 透 
过 这 样 的 

设 定 方式 ， 你 也 可 以 发 现 到 一 件 事 ， 那 就 是 : 『 路 由 是 双 同 的 ， 你 必须 
要 了 解 出 去 的 路 


由 与 回来 时 的 规则 」。 ”举例 来 说 ， 在 预 设 的 情况 下 (Router A 与 


workstation 都 没 


有 额外 的 路 由 设 定 时 )， 其 实 封包 是 可 以 由 clientlinux 联机 到 workstation 
的 ， 


是 workstation 却 没 有 相关 的 路 由 可 以 啊 应 到 clientlinux 一 所 以 上 头 才 会 
要 你 在 


Router A 或 者 是 workstation 上 面 设 定额 外 的 路 由 规则 啊 ! 这 样 说 ， 肯 了 
吧 ? 入 信 
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0 


用 Linux 作 一 个 静态 路 由 的 Router 很 简单 吧 ! 以 上 面 的 案例 来 说 ， 你 在 


Linux 


Router 上 面 几 乎 没有 作 什么 额外 的 工作 ， 只 要 将 网 络 IP 与 网 络 接口 对 
应 好 局 动 ， 然 


后 加 上 IP Forward 的 功能 ， 让 你 的 Linux 核心 支持 封包 转 递 ， 然 后 其 他 
的 工作 咱们 


的 Linux kernel 就 主动 帮 你 搞定 了 ! 真是 好 简单 ! 


不 过 这 里 必须 要 提醒 的 是 ， 如 果 你 的 Linux Router 有 设 定 防火 墙 的 话 ， 
而 且 还 





有 设 定 类 似 NAT 主机 的 IP 伪装 搁 术 ， 那 可 得 特别 留意 ， 因 为 还 可 能 会 
造成 路 由 误 判 


的 问题 一 上 述 的 Linux Router 当中 『 并 没有 使 用 到 任何 NAT 的 功能 
喔 ! 特别 给 他 


留意 到 ! 
8.3 动态 路 由 器 架 设 : quagga (zebra + ripd) 


在 一 般 的 静态 路 由 器 上 面 ， 我 们 可 以 透 过 修改 路 由 配置 文件 (route- 
ethN) 来 设 定 


好 既定 的 路 由 规则 ， 让 你 的 路 由 器 运作 顺利 。 不 过 ， ”这 样 的 方法 总 是 
觉得 很 讨厌 ! 如 


果 某 天 因为 组 织 的 再 造 导 致 需要 重新 规划 子 网 网 段 ， 如 此 一 来 ， 你 就 得 
要 在 图 8.2-1 的 


Router A 与 Linux Router 再 次 的 处 理 与 检查 路 由 规则 ， 真 是 有 够 麻烦 的 
一 那 能 不 能 


让 路 由 器 自己 学 习 新 的 路 由 ， 来 达成 自动 增加 该 笔 路 由 的 信息 呢 ? 


上 述 的 功能 就 是 所谓 的 动态 路 由 。 动 态 路 由 通常 是 用 在 路 由 器 与 路 由 器 
之 间 的 沟通 ， 


所 以 要 让 你 的 路 由 器 具有 动态 路 由 的 功能 ， ”你 必须 要 了 解 到 对 方 路 由 
器 上 面 所 提供 的 


动态 路 由 协议 才 行 ， 这 样 两 部 路 由 需 才 能 够 透 过 该 协议 来 沟通 役 此 的 路 
由 规则 。 目前 


常见 的 动态 路 由 协议 有 : RIPv1, RIPv2, OSPF, BGP 等 。 


想 要 在 ”CentOS ”上面 搞定 这 些 动态 路 由 的 相关 机 制 ， 那 就 得 要 使 用 
quagga 这 个 软 


件 啦 ! 这 个 软件 是 zebra 计划 的 延伸 ， 相关 的 官网 说 明 可 以 参考 文 后 的 








参考 数据 ( 注 

3)。 既 然 要 玩 quagga ， 自 然 就 得 要 先 安装 他 哆 ! 赶紧 处 理 吧 ! 
[root@www ~]# yum install quagga 

[root@www ~]# 1s -| /etc/quagga 

-TW-T--T--. 1 root root 406 Jun 25 20:19 ripd.conf.sample 
-TW-I-----. 1 quagga quagga 26 Jul 22 11:11 zebra.conf 


-TW-T--T--. 1 root root 369 Jun 25 20:19 zebra.conf.sample 


这 个 软件 所 提供 的 各 项 动态 路 由 协议 都 放置 到 /etc/quagga/ 目录 内 ， 瓜 
下 我 们 以 较为 


简单 的 RIPv2 协议 来 处 理 动态 路 由 ， 不 过 你 得 要 注意 的 是 ， 不 论 你 要 
局 动 什么 动态 路 


由 协议 ， 那 个 zebra 都 必须 要 先 启 动 才 行 ! 这 是 因为 : 
zebra 这 个 daemon 的 功能 在 更 新 核心 的 路 由 规则 ; 
RIP 这 个 daemon 则 是 在 同 附近 的 其 他 Router 沟通 协调 路 由 规则 的 传 
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IP1: 192.168.1.200/24 人 和 24 
IP2: 192.168.200.254/24 本 
Default gateway: 192.168,1,254 


Default gateway: 192.168.1.254 





PC Zl PE] 
192.168.200.10 192.168.100.10 


由 服务 的 配置 文件 都 必须 要 以 /etc/quagga/*.conf 的 档 名 来 储存 
行 ， 
如 上 表 我 们 可 以 发 现 zebra 这 个 服务 是 有 设 定 好 了 ， 不 过 ripd 的 档 名 却 


不 是 .conf 


结尾 。 所 以 我 们 必须 要 额外 作 些 设 定 才 行 。 


为 了 练习 一 下 我 们 的 quagga ， 当 然 得 要 设计 一 下 可 能 的 网 络 联机 哆 一 
假设 网 络 联 





机 的 图 标 如 下 ， 共 有 三 个 区 网 的 网 段 ， 其 中 最 大 的 是 192.168.1.0/24 这 
个 外 部 区 网 ， 


另 有 两 个 内 部 区 网 分 别 是 192.168.100.0/24 及 192.168.200.0/24 。 
图 8.3-1、 练 习 动 态 路 由 所 设 定 的 网 络 联机 示意 图 


上 图 的 两 部 Linux Router 分 别 负责 不 同 的 网 域 ， 其 中 Router Z1 是 上 个 
外 有 设 


定好 之 后 就 保留 的 ， 左 边 的 Router Z2 则 是 需要 额外 设 定 的 路 由 器 喔 ! 
两 部 Router 可 





以 透 过 192.168.1.0/24 这 个 网 域 来 沟通 。 在 没有 设 定额 外 路 由 规则 的 情 
况 下 ， 那 个 PC 


Z1 与 PC Z2 是 无 法 沟通 的 ! 另外 ，quagga 必须 要 同时 安装 在 两 部 
Linux Router 上 


头 才 行 ， 而 且 我 们 只 要 设 定 好 这 两 部 主机 的 网 络 接口 (eth0, eth1) 后 ， 
不 需要 手动 


输入 额外 的 路 由 设 定 咀 ! 可 以 透 过 RIP 这 个 路 由 协议 来 搞定 的 ! 





1. 将 所 有 主机 的 人 P 设 定 妥 当 : 


这 是 最 重要 的 吧 ? 请 将 这 四 部 主机 (Router Z1, Router Z2, PC Z1, PC Z2) 
的 


网 络 参数 ， 按 照 图 8.3-1 的 模样 设置 妥当 。 设置 的 方式 请 参考 本 章 上 一 
小 节 ， 


或 者 是 依据 第 四 章 的 4.2.1 来 设 定 吃 ， 这 里 不 再 重复 说 明了 。 男 外 ， 在 


Router 
Z1, Z2 的 部 分 还 得 要 加 上 修改 ip_forwrad 参数 ! 亦 即 是 /etc/sysctl.conf 
的 设 定 值 吗 ! 这 个 鸟 哥 也 常常 在 记 @_@。 
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2. 在 两 部 Router 上 面 设 定 zebra : 
我 们 先 设 定 图 8.3-1 右手 边 那 一 部 Router Z1， 关 于 zebra.conf 你 可 以 这 
样 


设 定 的 : 





#1. 先 设 定 会 影响 动态 路 由 服务 的 zebra 并 且 局 动 zebra 
[root@www ~]# vim /etc/quagga/zebra.conf 

hostname www.centos.vbird <== 给 予 这 个 路 由 器 一 个 主机 名 ， 随 
便 取 ! 

password linuxz1 <== 给 予 一 个 密码 ! 

enable password linuxz1 <== 将 这 个 密码 生效 ! 

log file /var/log/quagga/zebra.log <== 将 所 有 zebra 产生 的 信息 存 到 登 
录 文 件 中 

[root@www ~|]# /etc/init.d/zebra start 

[root@www ~]# chkconfig zebra on 

[root@www ~ 1# netstat -tunlp | grep zebra 

Active Internet connections (only servers) 

Proto Recv-Q Send-Q Local Address Foreign Address State 
PID/Program name 

tcp 0 0 127.0.0.1:2601 0.0.0.0:* LISTEN 

4409/zebra 


仔细 看 ， 由 于 zebra 这 个 服务 的 任务 主要 是 在 修改 Linux 系统 核心 内 的 
路 由 ， 


所 以 他 仅 监 听 本 机 接口 而 已 ， 并 不 会 监听 外 部 的 接口 才 对 ! 为 外 ， 在 


zebra.conf 


这 个 档案 当中 ， 我们 所 设 定 的 那个 密码 是 有 作用 的 喔 ! 可 以 让 我 们 登 





入 zebra 


这 套 软 件 呢 ! 好 了 ， 我 们 来 查 一 查 这 个 2601 的 port 是 否 正 确 的 启动 的 
呢 ? 


[root@www ~]# telnet localhost 2601 

Trying 127.0.0.1... 

Connected to localhost.localdomain (127.0.0.1). 
Escape character is 人 ] 

Hello, this is Quagga (version 0.99.15). 

Copyright 1996-2005 Kunihiro Ishiguro, et al. 
User Access Verification 

Password: <== 在 这 里 输入 刚刚 你 设 定 的 密码 啊 ! 


www.centos.vbird> ? <== 在 这 边 输 入 『 ? 」 融 能 够 知道 有 多 少 指令 可 使 
用 
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echo Echo a message back to the vty 

enable Turn on privileged mode command 

exit Exit current mode and down to previous mode 
help Description of the interactive help system 

list Print command list 

quit Exit current mode and down to previous mode 


show Show running system information 


terminal Set terminal line parameters 

who Display who is on vty 

www.centos.vbird> list <== 列 出 所 有 可 用 指令 
echo .MESSAGE 

.…( 中 间 省 略 )…. 

show debugging zebra 

show history 

show interface [IFNAME| 

…( 中 间 省 略 )..… 

Show ip protocol 

Show ip route 

…( 其 他 省 略 )..… 

www.centos.vbird> show ip route 

Codes: K - kernel route, C - connected, S - static, R - RIP, O - OSPF， 


1- 1SIS, B - BGP, > - selected route, * - FIB route 


K>* 0.0.0.0/0 via 192.168.1.254, eth0 <== 核 心 直 接 设 定 的 

C>* 127.0.0.0/8 is directly connected, lo <== 接 口 产生 的 路 由 

K>* 169.254.0.0/16 is directly connected, eth1 <== 核 心 直 接 设 定 的 
C>* 192.168.1.0/24 is directly connected, eth0 <== 接 口 产生 的 路 由 
C>* 192.168.100.0/24 is directly connected, eth1 <== 接 口 产 生 的 路 由 
www.centos.vbird> exit 


Connection closed by foreign host. 


仔细 看 到 ， 我 们 登入 这 个 zebra 的 服务 之 后 ， 可 以 输入 『help」 或 问号 


[?| 


?9 


zebra “ 惑 会 显示 出 你 能 够 执行 的 指令 有 哪些 ， 比 较 癌 用 的 当然 是 查询 路 
由 规则 哆 ! 


以 『 show ip route 」 来 得 阅 ， 结 末 可 以 发 现 目 前 的 接口 与 默认 路 由 都 被 


显示 

出 来 了 ， 显 示 的 结果 当中 : 

oK : 代表 以 类 似 route 指令 加 入 核心 的 路 由 规则 ， 包 括 route-ethN 
所 产生 的 规则 ; 

oC : 代表 由 你 的 网 络 接口 所 设 定 的 IP 而 产生 的 相关 的 路 由 规则 
0S : 以 zebra 功能 所 设 定 的 静态 路 由 信息 ; 

0R : 就 是 透 过 RIP 协议 所 增加 的 路 由 规则 嗓 ! 


事实 上 ， 如 果 你 还 想 要 增加 额外 的 静态 路 由 的 话 ， 也 可 以 透 过 zebra 而 
不 必 使 
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用 route 指令 呢 ! 例如 想 要 增加 10.0.0.0/24 给 eth0 来 处 理 的 话 ， 可 以 这 
样 做 : 

[root@www ~]# vim /etc/quagga/zebra.conf 

# 新 增 底下 这 一 行 喔 ! 

ip route 10.0.0.0/24 eth0 

[root@www ~|]# /etc/init.d/zebra restart 
[root@www ~]# telnet localhost 2601 

Password: <== 这 里 输入 密码 
www.centos.vbird> show ip route 

K>* 0.0.0.0/0 via 192.168.1.254, eth0 

S>* 10.0.0.0/24 [1/0] is directly connected, eth0 
C>* 127.0.0.0/8 is directly connected, lo 

K>* 169.254.0.0/16 is directly connected, eth1 
C>* 192.168.1.0/24 is directly connected, eth0 
C>* 192.168.100.0/24 is directly connected, eth1 


嘿嘿 ! 并 刻 束 会 多 出 一 笔 路 由 的 规则 ， 而 且 最 右边 会 显示 S， 亦 即 是 前 
态 路 由 


(Static route) 的 意思 。 如 此 一 来 ， 我 们 系统 管理 员 可 就 轻松 多 了 ! 设 定 


性 





边 Router Z1 的 zebra 之 后 ， 不 要 忘记 设 定 你 的 Router Z2 哟 ! 同样 的 设 


定 


再 来 一 遍 啦 ! 只 是 主机 名 与 密码 应 该 给 予 不 同 才 是 哟 ! 因为 过 程 都 一 


不 再 重复 设 定 。 接 下 来 我 们 可 以 开始 看 看 ripd 这 个 服务 哆 ! 














3. 在 两 部 Router 上 面 设 定 ripd 服务 : 
ripd 这 个 服务 可 以 在 两 部 Router 之 间 进 行路 由 规则 的 交换 与 沟通 ， 当 然 


啦 ， 


2 Cisco 或 者 是 其 他 有 提供 RIP 协议 的 路 由 器 的 
话 ， 那 


么 你 当然 也 是 可 以 透 过 这 个 RIP 让 你 的 Linux Router 与 其 他 硬件 路 由 器 
互相 


沟通 的 响 ! 只 不 过 CentOS 6.x 的 quagga 所 提供 的 ripd 服务 使 用 的 是 
RIPV2 版 本 ， 这 个 版 本 预 设 就 要 求 得 要 进行 映 份 验证 的 动作 ， 但 是 我 们 


古 个 小 





型 网 络 ， 并 不 想 要 加 入 这 个 身份 验证 的 功能 ， 因 此 就 得 要 增加 某 些 设 定 
值 才 能 够 


顺利 的 启动 ripd 吻 ! 


先 来 设 定 Router Z1 吧 ! 在 Router Z1 当中 ， 我 们 主要 是 透 过 eth0 发 送 
所 有 


的 网 域 路 由 人 信息， 同时， 我 们 管理 的 网 域 有 192.168.1.0/24, 
192.168.100.0/24。 


再 加 上 取消 号 份 验证 的 设 定 值 后 ， 我 们 的 ripd 就 会 变 成 这 样 : 


[root@www ~]#vim /etc/quagga/ripd.conf 


hostname www.centos.vbird <== 这 里 是 设 定 Router 的 主机 名 而 
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到 

password linuxz1 <== 设 定好 你 自己 的 密码 喔 ! 

debug rip events <== 可 以 记录 较 多 的 错误 讯 县 ! 

debug rip packet <== 乌 哥 透 过 这 个 讯 奶 解决 很 多 问题 

router rip <== 启 动 Router 的 rip 功能 

version 2 <== 启 动 的 是 RIPV2 的 服务 (默认 

值 ) 

network 192.168.1.0/24 <== 这 两 个 就 是 我 们 管理 的 接口 哆 ! 
network 192.168.100.0/24 

interface eth0 <== 针 对 外 部 的 那个 接口 ， 要 上 略 过 里 

份 验证 的 方式 

no ip rip authentication mode <== 就 是 这 个 项 目 ! 不 要 验证 身份 ! 
log file /var/log/quagga/zebra.log <== 登 录 档 设 定 与 zebra 相同 即 可 
[root@www ~]# /etc/init.d/ripd start 

[root@www ~]# chkconfig ripd on 

[root@www ~ 1# netstat -tulnp | grep ripd 

Active Internet connections (only servers) 


Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program 


name 

tcp 0 0 127.0.0.1:2602 0.0.0.0:* LISTEN 4456/ripd 
udp 0 0 0.0.0.0:520 0.0.0.0:* 

4456/ripd 


# 新 版 的 quagga 启动 的 2602 仅 在 127.0.0.1， 是 透 过 port 520 来 传递 信 


自 ! 
JCY 。 





基本 上 ， 这 样 就 设 定 完成 一 部 路 由 右 的 ”RIP 动态 路 由 协议 了 ! 在 上 头 


ripd.conf 

的 设 定 当中 ， 他 会 主动 以 eth0 及 192.168.1.0/24 这 个 网 域 的 功能 来 进行 
搜 

索 ， 如 此 一 来 ， 未 来 你 进行 任何 路 由 规则 的 变动 ， ”或 者 是 整个 网 域 的 
主机 IP 进 


行 更 动 ， 你 将 不 需要 重新 到 每 部 Router 上 更 动 ! 因为 这 些 路 由 器 会 自 
动 的 更 


新 他 们 上 自己 的 规则 喔 ! 嘿嘿 ! 接 下 来 ， 同 样 的 动作 请 你 到 图 8.3-1 左边 
那 部 


Router Z2 上 面 设 定 一 下 ! 因为 整个 设 定 的 流程 都 一 样 ， 所 以 这 里 乌 哥 
就 省 略 


啦 ! 


4. 检查 RIP 协议 的 沟通 结 


在 两 部 Linux Router 都 设 定 妥当 之 后 ， 你 可 以 登入 zebra 去 看 这 两 部 主 
机 的 


路 由 更 新 结果 喔 ! 
后 ， 并 


且 登 入 zebra ， 观察 路 由 会 是 这 样 的 情况 : 
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[root@www ~]# route -n 

Kernel IP routing table 

Destination Gateway Genmask Flags Metric Ref 
Use Iface 

192.168.100.0 0.0.0.0 255.255.255.0U00 

0 eth1 

10.0.0.0 0.0.0.0 255.255.255.0U00 

0 eth0 

192.168.1.0 0.0.0.0 255.255.255.0U00 

0 eth0 

192.168.200.0 192.168.1.200 255.255.255.0 UG 2 0 
0 eth0 

0.0.0.0 192.168.1.254 0.0.0.0 UG 0 0 


0 eth0 





1 右边 那 部 Router Z1 


# 其 实 看 路 由 就 知道 啦 ! 那 条 有 点 线 的 就 是 新 增 的 路 由 规则 ! 很 清楚 ! 


[root@www ~]# telnet localhost 2601 








Password: <== 不 要 起 记 了 密码 啊 ! 


www.centos.vbird> Show ip route 

Codes: K - kernel route, C - connected, S - static, R - RIP, O - OSPF， 
1 -ISIS, B - BGP, > - selected route, * - FIB route 

K>* 0.0.0.0/0 via 192.168.1.254, eth0 

S>* 10.0.0.0/24 [1/0] is directly connected, eth0 

C>* 127.0.0.0/8 is directly connected, lo 

K>* 169.254.0.0/16 is directly connected, eth1 

C>* 192.168.1.0/24 is directly connected, eth0 

C>* 192.168.100.0/24 is directly connected, eth1 

R>* 192.168.200.0/24 [120/2] via 192.168.1.200, eth0, 00:02:43 


如 果 你 有 看 到 上 述 的 字体 ， 嘿 嘿 ! 那 就 是 成 功 啦 ! 那个 最 左边 的 R 代表 


的 是 透 


通讯 协议 所 设 定 的 路 由 规则 啦 ! 如 此 一 来 ， 咀 们 的 路 由 器 设 定 
恬 搞 在 


哆 一 如 果 一 切 都 没有 问题 ， 你 也 想 要 开机 就 启动 zebra，ripd， 那 么 还 得 
要 这 样 : 


[root@www ~1]# chkcontfig zebra on 
[root@www ~]# chkconfig ripd on 


透 过 这 个 quagga 以 及 RIPv2 的 路 由 协议 的 辅助 ， 我 们 可 以 轻松 的 束 将 
路 由 规则 分 训 


人 比 起 单纯 使 用 route 去 修改 Linux 的 核 
心路 由 表 ， 


这 个 动作 当然 要 快速 很 多 ! 不 过 ， 如 果 是 很 小 型 的 网 络 环境 ， 那 么 不 要 
使 用 这 个 quagga 


啊 ! 因为 有 点 多 此 一 举 的 感觉 。 如 果 你 的 企业 环境 真 的 有 够 大 ， 那 么 玩 
一 玩 这 个 quagga 


配合 一 些 动态 路 由 协议 ， 嘿 嘿 ! 也 是 可 行 的 啦 ! 
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Gatewaa: 192.168.1.254/24 
外 部 eth0 


192.168.1.100/24 


内 部 eth0 
192,.168.1.200/24 


IP: 192.168.1.101 


PG ” PC4 
192.168.1.10 192.168.1.20 192.168.1.30 
Default gateway: 192.168.1.254 


Tips: 


鸟 哥 差 一 点 被 这 一 版 的 ripd.conf 设 定 内 容 搞 死 一 因为 CentOS 


5.X 以 后 的 版 本 预 设 的 RIPv2 会 去 进行 导 份 验证 ， 所 以 原先 在 


后 来 查 到 可 以 透 过 ripd.conf 内 的 debug 参数 去 设 定 除 错 登 录 ， 

才 发 现 RIPV2 的 认证 问题 ! 最 终 google 一 下 才 解 决 问题 一 好 宗 
啊 ! 

8.4 特殊 状况 : 路 由 器 两 边界 面 是 同一 个 IP 网 段 : ARP Proxy 

如 果 你 一 开始 设计 的 网 络 环境 就 是 同一 个 Class C 的 网 域 ， 例 如 


192.168.1.0/24 ， 后 来 因为 某 些 因素 必须 要 将 某 些 主机 搬 到 比较 内 部 的 
环境 中 ， 例 如 


图 8.2-1 的 dientlinxu, winxp, win7。 然后 又 因为 某 些 因素 ， 所 以 你 不 能 
变更 这 


些 计算 机 的 ”IP， 此 时 你 的 同一 网 域 就 会 横 器 在 一 个 路 由 器 的 左右 两 边 
了 ! 举例 来 说 ， 


联机 图 示 有 点 像 底 下 这 样 : 
图 8.4-1、 在 路 由 器 两 个 界面 两 边 的 IP 是 在 同一 个 网 域 的 设 定 情况 


初次 见面 一 看 到 眼睛 快要 掉 下 来 哩 ! 怎么 路 由 器 的 两 边 的 主机 IP 设 定 
都 在 同一 个 


网 域内 ? 而 且 还 被 规定 不 能 够 更 改 原先 的 IP 设 定 ， .… 真 是 一 个 头 两 个 
大 啊 一 如 此 一 


来 ， 在 Linux Router 两 边 要 如 何 制作 路 由 啊 ? 好 问题 ! 真是 好 问题 一 
为 OSI 第 三 


层 网 络 层 的 路 由 是 一 条 一 条 去 设 定 比 对 的 ， 所 以 如 果 两 块 网 卡 上 面 都 是 
同一 个 网 域 的 











IP 时 ， 就 会 发 生 错 误 。 那 如 何 处 理 啊 ? 
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第 一 步 : 
我 侍 电 的 封包 目标 吓 
PC2 , 惟 是 PC2 啊 ? 
跟 我 同 移 段 的 ? 


外 部 eth0 设 : 
是 我 是 我 ! 你 的 竟 料 、 









透 近 路 由 设 定 :将 
封包 塌 由 内 部 卫 
俏 到 正确 的 PC 上 


外 部 eth0 讼 : 
是 正确 的 网 段 ， 交 和 络 
我 不 理 ! 










ter A 
内 部 ethl 族 : 






第 一步 


PCl 或 router A， Nl 
Linux router 入 类 我 < QS 
PE PeES PC 4 


我 们 先 从 两 方面 来 说 ， 第 一 个 ， 当 从 正确 的 网 段 ” (PC1) ”要 联机 到 
PC2~PC4 时 ， 他 


应 该 是 要 透 过 Linux Router 那 部 主机 的 对 外 IP (192.168.1.100) 才 行 ! 而 
且 Linux 


Router 还 必须 要 让 该 封包 透 过 内 部 IP (192.168.1.200) 联机 到 PC2~PC4 
O 此 时 ， 


封包 传递 的 图 示 有 扣 像 这 样 : 
图 8.4-2、 正 常 的 网 段 想 要 传送 到 内 部 计算 机 去 的 封包 流 回 


在 这 个 阶段 ， 我 们 可 以 设 定 PC2~PC4 的 IP 所 对 应 的 网 卡 卡号 (MAC) 
都 设 定 在 


router 的 对 外 网 卡 上 ， 因此 ， router 的 对 外 接口 可 以 将 给 PC2~PC4 的 
封包 给 『 骗 ] 


过 来 。 接 下 来 ， 就 简单 的 透 过 路 由 设 定 ， 让 封包 转 个 接口 发 送出 去 即 
可 。 这 样 PC1 --> 


PC2 的 问题 解决 了 ， 但 是 PC2 怎么 传送 到 PC1 呢 ? 我 们 可 以 透 过 底下 
的 图 示 来 想象 一 


下 : 
图 8.4-3、 内 部 计算 机 想 要 传送 到 正常 网 域 时 的 封包 流 问 
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当 PC2 要 传送 的 封包 是 给 PC3, PC4 的 ， 那 么 这 个 封包 得 要 能 够 直接 传 
递 。 但 是 


如 果 需 要 传送 到 正常 网 域 的 封包 ， 惑 得 要 透 过 router 的 对 内 网 卡 ， 再 透 
过 路 由 规则 来 


将 该 封包 导 同 外 部 接口 来 传递 才 行 ! 这 个 时 候 就 变 成 内 部 的 接口 欺骗 
PC2 说 ，PC1 与 


Router A 的 IP 是 在 内 部 这 张 接 口上 就 是 了 ， 然 后 再 透 过 路 由 判断 将 该 
封包 透 过 外 部 


0 假设 Linux router 的 对 外 界面 为 eth0 而 对 内 
为 eth1 








时 ， 我 们 可 以 这 样 说 : 


1. 当 Linux Router 的 eth0 那个 网 域 主机 想 要 连接 到 PC2~PC4 的 主机 
时 ， 


由 Linux Router 负责 接收 ; 

2. 当 Linux Router 要 传送 数据 到 PC2~PC4 时 ， 务 必要 由 ethl 来 传送 ; 

3. 当 内 部 计算 机 想 要 连接 到 PC1 或 Router A 时 ， 由 Linux router 的 eth1 
负责 接收 ; 


4. 当 Linux Router 要 传送 的 数据 为 192.168.1.0/24 ， 但 并 非 PC2~PC4 
时 ， 


需 由 eth0 传送 。 


上 列 的 步骤 与 图 示 内 的 线条 上 的 顺序 相符 合 哆 ! 得 要 对 照 着 看 看 。 其 中 
的 (1) 与 

(3) 就 是 透 过 ARP Proxy (代理 ) 的 功能 啦 ! 那 喻 是 ARP Proxy 呢 ? 简单 
的 说 ， 就 是 


让 我 的 某 张 适 配 卡 的 MAC 代理 其 他 主机 的 IP 对 应 ， 连接 到 这 
IP 的 MAC 封 


包 由 我 帮 他 接 下 来 的 意思 。 举 我 们 图 8.4-1 的 例子 来 说 ， 就 是 在 Linux 
Router 的 


eth0 接口 上 上， 规定 192.168.1.10, 192.168.1.20, 192.168.1.30 这 三 个 IP 都 
对 应 


到 eth0 的 MAC 上 ， 所 以 三 个 卫 的 封包 就 会 由 eth0 代为 收 下 ， 因 此 才 
叫做 ARP 代 


理 人 嘛 ! 所 以 啦 ， 每 一 部 在 eth0 那 端的 主机 都 会 『 误 判 」 那 三 个 卫 是 


Linux Router 


所 拥有 ， 这 样 就 能 够 让 封包 传 给 Linux Router 啦 ! 
再 接 下 来 ， 咀 们 的 Linux Router 必须 要 额外 指定 路 由 ， 设 定 情 况 为 : 


若 目 标 是 PC2 ~ PC4 时 ， 该 路 由 必须 要 由 内 部 的 ethl 发 送出 去 才 
行 ， 


若 目 标 不 为 PC2 ~ PC4 ， 且 目标 在 192.168.1.0/24 的 网 域 时 ， 需 由 
eth0 


发 送出 去 才 行 。 


也 就 是 说 ， 你 必须 要 指定 路 由 规则 当中 ， 那 个 PC2~PC4 具有 优先 选择 
权 ， 然 后 其 


他 的 同 网 域 封包 才 由 eth0 来 传送 。 这 样 就 能 够 达成 我 们 所 想 要 的 结 后 
啦 ! 和 人 人! 看 样 


子 似乎 很 难 ， 其 实 设 定 方面 还 挺 简单 的 ， 你 可 以 透 过 arp 以 及 route 这 
两 个 指令 来 达 


成 喔 ! 

外 部 接口 eth0: 08:00:27:71:85:BD 

内 部 接口 eth1: 08:00:27:2A:30:14 
#1. 先 设 定 外 部 eth0 的 ARP Proxy， 让 三 个 IP 对 应 到 自己 的 MAC 
[root@www ~|]# arp -ieth0 -s 192.168.1.10 08:00:27:71:85:BD pub 
[root@www ~|]# arp -ieth0 -s 192.168.1.20 08:00:27:71:85:BD pub 
[root@www ~|]# arp -ieth0 -s 192.168.1.30 08:00:27:71:85:BD pub 
[root@www ~]# arp -n 


Address HWtype HWaddress Flags Mask Iface 
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192.168.1.30 * * MP eth0 
192.168.1.10 * * MP eth0 
192.168.1.20 * * MP eth0 


# 首先 需要 让 外 部 接口 拥有 三 个 IP 的 操控 权 ， 透 过 这 三 个 指令 来 建立 
ARP 


对 应 ! 
# 2. 开始 处 理 路 由 ， 增 加 PC2~PC4 的 单机 路 由 经 过 内 部 的 ethl 来 传递 


[root@www ~]# route add -host 192.168.1.10 eth1 





[root@www ~]# route add -host 192.168.1.20 eth1 
[root@www ~]# route add -host 192.168.1.30 eth1 
[root@www ~]# route -n 

Kernel IP routing table 

Destination Gateway Genmask Flags Metric Ref 
Use Iface 

192.168.1.20 0.0.0.0 255.255.255.255 UH 00 

0 eth1 

192.168.1.10 0.0.0.0 255.255.255.255 UH 0 0 

0 eth1 

192.168.1.30 0.0.0.0 255.255.255.255 UH 0 0 


0 eth1 


192.168.1.0 0.0.0.0 255.255.255.0U 00 
0 eth0 

192.168.1.0 0.0.0.0 255.255.255.0U00 
0 eth1 

0.0.0.0 192.168.1.254 0.0.0.0 UG 00 

0 eth0 

# 这 样 就 处 理 好 单 癌 的 单机 路 由 吵 ! 
不 过 有 个 问题 啊 ! 

那 就 是 192.168.1.0/24 


# 的 网 域 ， 两 个 接口 都 可 以 传送 ! 因此 ， 等 一 下 第 四 个 步骤 得 要 将 eth1 
删除 


才 行 ! 

3. 设 定 一 下 内 部 的 ARP Proxy 工作 ( 绑 在 ethl 上 头 唉 )! 
[root@www ~]# arp -i eth1 -s 192.168.1.101 08:00:27:2A:30:14 pub 
[root@www ~]# arp -i eth1 -s 192.168.1.254 08:00:27:2A:30:14 pub 


# 这 样 可 以 骗 过 PC2 ~ PC4 ， 让 这 三 部 主机 传递 的 封包 可 以 透 过 router 
来 


传递 ! 
4. 开始 清除 掉 ethl 的 192.168.1.0/24 路 由 
[root@www ~]# route del -net 192.168.1.0 netmask 255.255.255.0 eth1l 


所 有 的 计算 机 都 在 同一 个 网 域内 ， 因 此 default gatway 都 是 


192.168.1.254 ， 而 


netmask 都 是 255.255.255.0， 只 有 IP 不 一 样 而 已 。 最 后 ， 所 有 的 计算 
机 都 可 以 直 


接 跟 对 方 联机 ， 也 能 够 顺利 的 连 上 Internet ! 这 样 的 设 定 就 能 够 满足 上 
述 的 功能 需 


如 果 一 切 都 没有 问题 ， 那 么 将 上 述 的 指令 写成 一 个 脚本 档 ， 例 
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0 
0 


/root/bin/network.sh ， 然 后 将 该 档案 设 定 为 可 执行 ， 并 将 它 写 入 


同时 每 次 重新 局 动 网 络 后 ， 束 得 要 重新 执行 一 次 该 脚 
》 即 可 


达到 你 的 需求 哆 ! 


ee 能 不 能 联机 其 实 与 路 由 的 关系 才 大 
哩 ! 而 旺 


由 是 双 辐 的 ， 你 必须 要 考虑 到 这 个 封包 如 何 回来 的 问题 喔 ! 
8.5 重点 回顾 

网 络 卡 的 代号 为 eth0，eth1，eth2...， 而 第 一 张 网 络 卡 的 第 一 个 虚拟 接 
口 








为 eth0:0... 
网 络 卡 的 参数 可 使 用 ifconfig 直接 设 定 ， 亦 可 使 用 配置 文件 如 





/etc/sysconfig/network-scripts/ifcfg-ethn 来 设 定 ; 


路 由 是 双 网 的 ， 所 以 由 网 络 封包 发 送 处 发 送 到 目标 的 路 由 规划 ， 必 须 


回程 时 是 否 具 有 相对 的 路 由 ， 否则 该 封包 可 能 会 【遗失 】」 ; 
本 











时 的 路 径 依据 ; 
每 部 可 对 外 Internet 传送 封包 的 主机 ， 其 路 由 信息 中 应 有 一 个 预 设 路 
上 


(default gateway); 
要 让 Linux 作为 Router 最 重要 的 是 局 动 核 心 的 卫 Forward 功能 ; 
重复 路 由 可 能 会 让 你 的 网 络 封包 传递 到 错误 的 方向 ; 


0 Ronuter 之 间 沟 通 彼 此 的 路 由 规则 用 的 ， 常 
见 的 


Linux 上 的 动态 路 由 套件 为 zebra ; 
arp proxy 可 以 透 过 arp 与 route 的 功能 ， 让 路 由 器 两 端 都 在 同一 个 网 


段 
内 ， 
一 般 来 说 ， 路 由 器 上 都 会 有 两 个 以 上 的 网 络 接口 


事实 上 ，Router 除了 作为 路 由 转换 之 外 ， 在 Router 上 面 染 设 防火 
载 ， 刘 


可 在 企业 内 部 再 分 隔 出 多 个 需要 安全 (Security) 的 单位 数据 的 区 隔 ! 


8.6 本 章 习 题 











在 练习 完 本 章 的 相关 信息 后 ， 请 将 网 络 
样 ! 以 


方便 未 来 后 续 间 市 的 练习 喔 ! 这 个 章节 的 路 由 融 确 实 是 有 点 及 烦 的 ! 
和 人 和 








请 问 你 如 何 将 你 的 eth0 这 个 接口 修改 成 为 192.168.100.2 在 网 域 
192.168.100.0/25 之 内 的 网 络 参 数 内 容 ? 
为 192.168.100.0/25 的 netmask 为 255.255.255.128 ， 所 以 可 以 这 样 
做 : 
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0 


ifconfig eth0 192.168.100.2 netmask 255.255.255.128 up 

这 样 即 可 ! 如 果 尚 须 其 他 的 参数 ， 则 需要 以 档案 形式 来 下 达 ， 如 vi 
/etc/sysconfig/network-scripts/ifcfg-eth0， 并 修改 为 : 

DEVICE=eth0 

ONBOOT=yes 

BOOTPROTO=static 

IPADDR=192.168.100.2 

NETMASK=255.255.255.128 

NETWORK=192.168.100.0 

BROADCAST=192.168.100.127 


请 手动 设 定 eth0:1 这 个 虚拟 接口 ， 使 成 为 网 络 参 数 : 192.168.200.2， 


网 

域 在 192.168.200.0/24。 

ifconfig eth0:1 192.168.200.2 up 
如 何 观察 路 由 表 ? 


route -n 即 可 查阅 ! 注意 到 0.0.0.0 那个 目标 (default gateway)。 





如 何 启 动 Linux 的 IP Forward 功能 ? 
直接 以 『echo "1" > /proc/sys/net/ipv4/ip_forward 」 即 可 ! 


假设 你 是 一 个 学 校 单位 的 信息 管理 员 ， 学 校内 有 200 部 计算 机 ， 奉 上 
大 














头 的 旨意 ， 必 须要 将 200 部 计算 机 分 为 4 个 Subnet ， 请 问 你 应 该 如 何 
布线 (请 


画 出 示意 图 )? 而 这 4 个 Subnet 的 网 络 参 数 如 何 选择 (请 目 行 选择 )? 而 
不 





需要 Router ? 如 果 需 要 的 话 ， 假 设 每 个 Router 仅 能 有 两 个 网 络 实体 接 
口 ， 那 


么 该 如 何 布线 ? ( 注 : 不 要 使 用 虚拟 接口 ) 


假设 你 想 要 连接 到 168.95.1.1 ， 那 么 你 该 如 何 判断 你 经 过 『 多 少 个 
节点 ? 


可 以 使 用 traceroute 168.95.1.1 来 分 析 每 个 节点 的 传送 信息 ， 也 可 以 透 
过 ping 168.95.1.1 所 回 传 的 那个 tt 值 判 断 节点 数量 。 


万 一 你 的 网 络 有 点 停顿 ， 发 现 可 能 是 网 络 上 某 个 节点 出 现 问题 ， 你 应 
该 如 何 


确认 是 哪 一 部 Router 出 问题 ? 


就 利用 traceroute 吧 ! 
参考 数据 与 延伸 阅读 
net.giang(@@hotmail.com 
注 1: 网 中 人 写 的 『 帝 宽 负 载 平 衡 ]: 
http://www.study-area.org/tips/multipath.htm 
注 2: 一 些 生产 网 络 硬 设备 的 公司 : 
思科 (Cisco) :_http:/www.cisco.com/ 
友 讯 (D-Link) :_http://www.dlinktw.com.tw/ 
普 联 技术 (TP-Link) :_http://www.tplink.com.tw/ 
注 3: 动态 路 由 架设 软件 : 
动态 路 由 软件 Quagga: http:/www.quagga.net 
动态 路 由 软件 zebra: http://www.zebra.org 
Ben 哥 写 的 『 实 作 Linux 动态 路 由 」: 
http://Ninux.vbird.org/somepaper/20060714-linux cisco_ route.pdf 
quagga 官方 操作 文件 : http://www.quagga.net/docs/quagga.pdf 
和 学 园 的 ARP Proxy: 
http://phorum.study-area.org/Vviewtopic.php?t=5619 
告 学 园 ericshei 的 ARP Proxy 分 享 : 


http://phorum.study-area.org/viewtopic.php?t=22943 
2002/08/09: 第 一 次 完成 日 期 ! 


2003/08/22: 重新 编辑 文章 ， 并 增加 重点 回顾 与 课 后 练习 
2006/08/21: 将 旧 的 文章 移动 到 此 人 处。 


2006/08/30: 加 入 了 zebra 以 及 ARP Proxy 等 与 Router 比较 相关 的 议 
题 ! 


2010/09/23: 将 旧 的 基于 CentOS 4.x 的 版 本 移动 到 此 处 


2010/10/26: 修订 了 部 分 数据 ， 尤 其 是 ARP 的 说 明 部 分 ! 不 过 ， 重 点 于 
题目 都 还 没有 


更 新 ! 
2011/07/21: 将 基于 CentOS 5.x 的 文章 移动 到 此 处 


I 将 网 域 做 成 统一 的 格式 ， 就 是 用 第 三 章 的 区 网 架构 来 处 理 
路 ! 
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最 近 更 新 日 期 : 2011/07/22 


从 第 七 章 的 图 7.1-1 我 们 可 以 友 现 防火 墙 是 整个 封包 要 进入 主机 前 的 第 
道 和 关卡， 但， 什么 是 防火 墙 ? 

Linux 的 防火 墙 有 哪些 机 制 ?” 防火墙 可 以 达到 与 无 法 达到 的 功能 有 哪 

些 ? 防火 墙 能 不 能 作为 区 域 防 火 


省 而 不 是 仅 针 对 单一 主机 而 已 呢 ? 其 实 ，Linux ”的 防火 墙 主 要 是 透 过 
Netfilter 与 TCP Wrappers 两 个 


机 制 来 管理 的 。 其 中 ， 透 过 Netfilter 防火 墙 机 制 ， 我 们 可 以 达到 让 私有 
IP 的 主机 上 网 (IP 分 享 器 


功能 ) ， 并 且 也 能 够 让 Internet 连 到 我 内 部 的 私有 IP 所 架设 的 Linux 服 
务 器 (DNAT 功能 )! 真 的 很 








不 赖 喔 ! 这 一 章 对 您 来 说 ， 也 真 的 有 够 重要 的 啦 ! 


9.1 认识 防火 墙 





9.2 TCP Wrappers 
9.2.1 哪些 服务 有 支持 : ldd 





9.3.2 封包 进入 流程 ， 规 则 顺序 的 重要 性 ! 
9.3.3 iptables 人 table) 与 链 (chain 
9.3.4 ‘“] iptables 话 y 


9.3.4-1 规则 的 观察 与 请 除 


9.3.4-2 定义 预 设 政策 (polic 





置 :信任 装置, 信任 网 域 








9.3.4-5 iptables 外 挂 模块 mac 与 state 





9.4.1 规则 草 殷 

9.4.2 实际 设 定 

9.5NAT 服务 器 的 设 定 

9.5.1 什么 是 NAT? SNAT? DNAT? 
9.5.2 最 NAT 服务 右 : IP 分 享 功能 


9.5.3 iptables 的 额外 核心 模块 功能 
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9.1 认识 防火 墙 
网 络 安 全 除了 随时 注意 相关 软件 的 漏洞 以 及 网 络 上 的 安全 通报 之 外 ， 你 


最 好 能 够 依 


据 自己 的 环境 来 订 定 防火 墙 机 制 ! 这样 对 于 你 的 网 络 环境 ， 会 比较 有 
保障 一 点 喔 ! 那 


么 什么 是 防火 墙 呢 ? 其 实 防火 墙 就 是 透 过 订 定 一 些 有 顺序 的 规则 ， 并 管 
制 进入 到 我 们 网 


域内 的 主机 (或 者 可 以 说 是 网 域 ) 数据 封包 的 一 种 机 制 ! 更 广义 的 来 说 ， 


只 要 能 够 分 析 
与 过 小 进出 我 们 管理 之 网 域 的 封包 数据 ， 就 可 以 称 为 防火 墙 。 


防火 墙 又 可 以 分 为 硬件 防火 墙 与 本 机 的 软件 防火 墙 。 硬 件 防火 墙 是 由 厂 
商 设计 好 的 


主机 硬件， ”这 部 硬件 防火 墙 内 的 操作 系统 主要 以 提供 封包 数据 的 过 渡 
机 制 为 主 ， 并 将 


其 他 不 必要 的 功能 拿 掉 。 因 为 单纯 作为 防火 墙 功 能 而 已 ，“” 因此 封包 过 
小 的 效率 较 佳 。 


至 于 软件 防火 场 呢 ? 那 就 是 我 们 这 个 章节 要 来 谈论 的 啊 ! ”软件 防火 寺 
本 刁 就 是 在 保护 


系统 网 络 安全 的 一 套 软件 (或 称 为 机 制 )， 例 如 Netfilter 与 TCP Wrappers 
都 可 以 称 


为 软件 防火 墙 。 
无 论 怎么 分 ， 反 正 防火 墙 就 是 用 来 保护 我 们 网 络 安全 的 噬 噬 束 对 啦 ! 我 


们 这 个 章节 


主要 在 介绍 Linux 系统 本 身 提 供 的 软件 防火 墙 的 功能 ， 那 就 是 Netfilter 
5 宇和 于 TCP 

















Wrappers 里 
还 会 肖 物 简 


的 介绍 啦 ! 
9.1.1 开始 之 前 来 个 提醒 事项 


目的 在 介绍 Netfilter 这 种 封包 过 滤 式 的 防火 墙 机 制 |， 
此 网 


基础 里 面 的 许多 封包 与 讯 框 的 概念 要 非常 清楚 ， 包括 网 域 的 概念 , IP 网 
域 的 撰写 方式 








等 ， 均 三 


? 





基础 才 行 。 请 到 第 二 童 一 MAC, IP, ICMP, 





TCP, UDP 等 封包 
表 头 数据 的 认识 ， 以 及 Network/Netmask 的 整体 网 域 (CIDR) 写法 等 。 


J 虽然 Netfilter 机 制 可 以 透 过 iptables 指令 的 方式 来 进行 规则 的 排 
于 与 


修改 ， 不 过 鸟 哥 建议 你 利用 shell script 来 撰写 属于 你 自己 的 防火 墙 机 制 
比较 好 ， 


为 对 于 规则 的 排序 与 汇 整 有 比较 好 的 观察 性 ， ”可 以 让 你 的 防火 墙 规则 
比较 清晰 一 点 。 


所 以 在 你 开始 了 解 底下 的 资料 之 前 ， 硕 望 你 可 以 先 阅 读 过 相关 的 数据 
本 : 





己 经 认识 Shell 以 及 Shell script: 
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0 


名 
最 好 拥有 两 部 主机 以 上 的 小 型 局 域 网 络 环 境 ， 以 方便 测试 防火 墙 ; 
做 为 区 域 防 火 墙 的 Linux 主机 最 好 有 两 张 实 体 网 卡 ， 可 以 进行 多 种 测 





yh 


试 
并 架设 NAT 服务 器 ; 
9.1.2 为 何 需 要 防火 墙 


仔细 分 析 第 七 童 的 图 7.1-1 可 以 发 现 ， 封包 进入 本 机 时 ， 会 通过 防火 
省 、 服 务 占 


软件 程序 、SELinux 与 文件 系统 等 。 所 以 基本 上 ， 如 果 你 的 系统 (1) 已 
经 关闭 不 需要 而 


且 人 危险 的 服务 ，”(2) 已 经 将 整个 系统 的 所 有 软件 都 保持 在 最 新 的 状态 ; 
(3) 权 限 设 定 受 


当 且 定时 进行 备份 工作 ; (4) 已 经 教育 用 户 具 有 展 好 的 网 络 、 系 统 操作 
习惯 。 那么 你 


的 系统 实际 上 已 经 颇 为 安全 了 ! 要 不 要 架设 防火 墙 ? 那 束 见仁见智 喝 ! 


不 过 ， 毕 竟 网 络 世 界 是 很 复杂 的 ， 而 “Linux 主机 也 不 是 一 个 简单 的 东 
西 ， 说 不 定 


哪 一 天 你 在 进行 某 个 软件 的 测试 时 ， ”主机 突然 间 就 启动 了 一 个 网 络 服 
务 ， 如 果 你 没有 


管制 该 服务 的 使 用 范围 ， 那 么 该 服务 就 等 于 对 所 有 Internet 开放 ， 那 就 
肤 烦 了 ! 


为 该 服务 可 能 可 以 允许 任何 人 登入 你 的 系统 ， 那 不 是 挺 危 险 ? 


所 以 蚁 ， 防 火 墙 能 作 什 么 昵 ?防火墙 最 大 的 功能 就 是 帮助 你 『 限 制 茶 些 
服务 的 存 取 














来 源 」! 举例 来 资 : (1) 你 可 以 限制 文件 传输 服务 (ETP) 只 在 子 域内 的 
主机 才能 够 使 


用 ， 而 不 对 整个 Internet 开放 ; (2) 你 可 以 限制 整 部 Linux 主机 仅 可 以 接 
受 客 户 端 


的 WWW 要 求 ， 其 他 的 服务 都 关闭 (3) 你 还 可 以 限制 整 部 主机 仅 能 主 
动 对 外 联机 。 反 


过 来 说 ， 若 有 客户 端 对 我 们 主机 发 送 主动 联机 的 封包 状态 (TCP 封包 的 
SYN flag) 就 


予以 抵挡 等 等 。 这 些 就 是 最 主要 的 防火 墙 功 能 了 ! 

所 以 乌 哥 认为 ， 防 火 墙 最 重要 的 任务 就 是 在 规划 出 : 
切割 被 信任 (如 子 域 ) 与 不 被 信任 (如 Internet) 的 网 段 ; 
划分 出 可 提供 Internet 的 服务 与 必须 受 保护 的 服务 ; 
分 析出 可 接受 与 不 可 接受 的 封包 状态 ; 


当然 啦 ， 趾 们 Linux 的 iptables 防火 墙 软件 还 可 以 进行 更 细部 深入 的 
NAT 


(Network Address Translation) 的 设 定 ， 并 进行 更 弹性 的 IP 封包 伪装 功 
有 能; 不过; 


对 于 单一 主机 的 防火 墙 来 说 ， “最 简单 的 任务 还 是 上 面 那 三 项 就 是 了 ! 
所 以 ， 你 需 不 需 


要 防火 墙 呢 ? 理论 上 ， 当 然 需 要 ! ”而 且 你 必须 要 知道 『 你 的 系统 哪些 
数据 与 服务 需要 


保护 】， 针 对 需要 受 保护 的 服务 来 设 定 防火 墙 的 规则 吧 ! 。 底下 我 们 先 
来 谈 一 谈 ， 那 在 


Linux 上 头 和 党 见 的 防火 墙 类 型 有 哪些 ? 





9.1.3 Linux 系统 上 防火 墙 的 主要 类 别 
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基本 上 ， 依 据 防火 塔 管理 的 范围 ， 我 们 可 以 将 防火 载 区 分 为 网 域 型 与 单 
一 主机 型 的 


控 管 。 在 单一 主机 型 的 榨 管 方面 ， 主要 的 防火 场 有 封包 过 滤 型 的 
Netfilter 与 依据 服 


务 软件 程序 作为 分 析 的 TCP Wrappers 两 种 。 若 以 区 域 型 的 防火 墙 而 
言 ， 由 于 此 类 防 

火 墙 都 是 当 作 路 由 器 角色 ， 因 此 防火 墙 类 型 主要 则 有 封包 过 滤 的 
Netfilter 与 利用 代 

理 服 务 器 (proxy server) 进行 存 取 代理 的 方式 了 。 





Netfilter (封包 过 滤 机 制 ) 


人 亦 即 是 分 析 进 入 主机 的 网 络 封包 ， 将 封包 的 表 头 数据 
是 由 来 ; 


行 分 析 ， 以 决定 该 联机 为 放行 或 抵挡 的 机 制 。 ”由 于 这 种 方式 可 以 直接 
分 析 封 包 


所 以 包括 硬件 地 址 (MAC)， 软 件 地 址 (IP), TCP, UDP, ICMP 
等 直 

的 信息 都 可 以 进行 过 滤 分 析 的 功能 ， 因 此 用 途 非 常 的 广泛 。( 其 实 主要 
分 析 的 是 

OSI 七 层 协议 的 2, 3, 4 层 啦 ) 

在 Linux 上 面 我 们 使 用 核心 内 建 的 Netfilter 这 个 机 制 ， 而 Netfilter 提供 
了 iptables 这 个 软件 来 作为 防火 墙 封 包 过 滤 的 指令 。 由 于 Netfilter 是 核 


心 


内 建 的 功能 ， 因 此 他 的 效率 非常 的 高 ! ”非常 适合 于 一 般 小 型 环境 的 设 
定 呢 ! 


人 些 封 包 过 滤 的 规则 设 定 ， 来 定义 出 什么 资料 可 以 接收 ， 
人 么 


资料 需要 剔除 ， 以 达到 保护 主机 的 目的 喔 ! 


TCP Wrappers (程序 控 管 ) 


男 一 种 抵挡 封包 进入 的 方法 ， 为 透 过 服务 器 程序 的 外 挂 (tcpd) 来 处 置 


的 ! 与 封 


包 过 小 不 同 的 是 ，“” 这 种 机 制 主 要 是 分 析 谁 对 茶 程 序 进 行 存 取 ， 然 后 透 
过 规则 去 


分 析 该 服务 器 程序 谁 能 够 联机 、 谁 不 能 联机 。 “由 于 主要 是 透 过 分 析 服 
务 吉 程序 


来 控 管 ， 因 此 与 启动 的 埋 口 无 关 ， 只 与 程序 的 名 称 有 关 。 ”举例 来 说 ， 
我 们 知道 FTP 


可 以 启动 在 非 正 规 的 port 21 进行 监听 ， 当 你 透 过 Linux 内 建 的 TCP 


wrappers 


| FTP 时 ， 那么 你 只 要 知道 FTP 的 软件 名 称 (vsftpd) ， 然 后 对 他 作 
限制 |， 


则 不 管 FTP 局 动 在 哪个 坦 口 ， 都 会 被 该 规则 管理 的 。 














Proxy (代理 服务 器 ) 
其 实 代 理 服务 器 是 一 种 网 络 服 务 ， 它 可 以 『 代 理 」 用户 的 需求 ， 而 代为 





强 取 得 相关 的 资料 。 就 有 点 像 奈 下 这 个 图 示 吧 : 


-_ 


Proxy Server Client 
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图 9.1-1、Proxy Server 的 运作 原理 简介 

以 上 图 为 例 ， 当 Client 端 想 要 前 往 Internet 取得 Google 的 数据 时 ， 他 
取得 数据 的 流程 是 这 样 的 : 

1. client 会 疝 proxy server 要 求 数据 ， 请 proxy 帮忙 处 理 ; 

2. proxy 可 以 分 析 使 用 者 的 IP 来 源 是 否 合法 ? 使 用 者 想 要 去 的 
Google 服务 器 是 否 合法 ? 如 果 这 个 client 的 要 求 都 合法 的 话 ， 那 么 
proxy 就 会 主动 的 帮忙 client 前 往 Google 取得 资料 ; 

3. Google 所 回 传 的 数据 是 传 给 proxy server 的 喔 ， 所 以 Google 服 

务 器 上 面 看 到 的 是 proxy server 的 IP 哎 ; 

4. 最 后 proxy 将 Google 回 传 的 数据 送 给 client。 


这 样 了 解 了 吗 ? 没 错 ， client 并 没有 直接 连 上 Intemet ， 所 以 在 实 线 部 
(由 


又 1, 和) 只 要 Proxy 与 Client 可 以 联机 就 可 以 了 ! 此 时 client 甚至 不 需要 





拥有 public IP 哩 ! 而 当 有 人 想 要 攻击 client 端的 主机 时 ， 除非 他 能 够 攻 
破 


Proxy server ， 人 否则 是 无 法 与 client 联机 的 啦 ! 

另外 ， 一 般 proxy 主机 通常 仪 开放 port 80, 21, 20 等 WWW 与 FTP 的 埋 
口 而 

己 ， 而 且 通 常 Proxy 就 架设 在 路 由 器 上 面 ， 因 此 可 以 完整 的 掌控 局 域 网 
络 内 的 


对 外 联机 ! 让 你 的 LAN 变 的 更 安全 啊 ! 由 于 一 般 小 型 网 络 环境 很 少 会 
用 到 代理 


服务 器 ， 因 此 本 书 并 没有 谈 到 proxy server 的 设 定 ， 有 兴趣 的 话 可 以 参 
考 一 下 


第 十 七 童 squid ( 注 1) 这 个 软件 的 官网 或 google 一 下 吧 ! 
9.1.4 防火 墙 的 一 般 网 络 布线 示意 


由 前 面 的 说 明 当 中 ， 你 应 该 可 以 了 解 到 一 件 事 ， 那 束 是 防火 墙 除了 可 以 
[保护 防火 


墙 机 制 本 喘 所 在 的 那 部 主机 」 之 外 ， 还 可 以 『 保 护 防 火 墙 后面 的 主 
机 」 。 也 就 是 说 ， 防 


火 墙 除了 可 以 防备 本 机 被 入 侵 之 外 ， 他 还 可 以 架设 在 路 由 器 上 面糊 以 
控 管 进出 本 地 站 


网 域 的 网 络 封包 。 ”这 种 规划 对 于 内 部 私有 网 域 的 安全 也 有 一 定 程度 的 
保护 作用 呢 ! 底 


下 我 们 稍微 谈 一 谈 目 前 第 见 的 防火 墙 与 网 络 布线 的 配置 吧 : 
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we 


单一 网 域 ， 仅 有 一 个 路 由 需 : 
人 Linux 本 机 的 基本 防护 之 外 ， 他 还 可 以 架设 在 路 由 
以 管控 整个 局 域 网 络 的 封包 进出 。 因此， 在 这 类 的 防火 墙 上 头 通常 至 


少 需要 


两 个 接口 ， 将 可 信任 的 内 部 与 不 可 信任 的 Internet 分 开 ， 所 以 可 以 分 别 


设 定 
两 块 网 络 接口 的 防火 墙 规则 啦 ! 简单 的 环境 如 同 下 列 图 9.1-2 所 示 。 


0 普 是 设 定 在 所 有 网 络 封包 都 会 经 过 的 路 由 器 上 
头 ， 因 


此 这 个 防火 说 可 以 很 权 吻 的 训 控 到 局 城 网 络 内 的 所 有 封包 ，。 而 且 人 
管理 


We 
吹 。 


只 要 管理 一 部 主机 就 能 够 造福 整 的 LAN 里 面 的 PC， 很 划算 的 啦 。 
0 胆 要 将 局 域 网 络 控 管 的 更 严格 的 话 ， 那 你 其 至 可 以 在 这 部 Linux 
lb 











上 面 架 设 更 严格 的 代理 服务 器 ， 让 客户 端 仅 能 连 上 你 所 开放 的 WWW 
服务 占 而 已 ， 


而 且 还 可 以 透 过 代理 服务 器 的 登录 文件 分 析 功 能 明确 的 碍 出 来 那个 
使 用 者 在 


茶 个 时 间 扣 曾经 连 上 哪些 WWW 服务 器 ， 你 瞧 瞧 ! 厉害 吧 ! 如 果 在 这 
个 防火 墙 上 


面 再 加 装 类 似 _MRTG 的 流量 监控 软件 ， 还 能 针对 整个 网 域 的 流量 进行 
监测 。 这 样 


配置 的 优点 是 : 

0 因为 内 外 网 域 已 经 分 开 ， 所 以 安全 维护 在 内 部 可 以 开放 的 权限 较 大 ! 
o 安全 机 制 的 设 定 可 以 针对 Linux 防火 墙 主机 来 维护 即 可 ! 

0 对 外 只 看 的 到 Linux 防火 墙 主机 ， 所 以 对 于 内 部 可 以 达到 有 效 的 安 
全 防护 ! 

图 9.1-2、 单 一 网 域 ， 仅 有 一 个 路 由 器 的 环境 示意 图 


cg | 屋 刁 
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受 保 访 的 LAN 





内 部 网 络 包含 安全 性 更 高 的 子 网 ， 需 内 部 防火 墙 切 开 子 网 : 

一 般 来 说 ， 我 们 的 防火 墙 对 于 LAN 的 防备 都 不 会 设 定 的 很 严格 ， 因 为 
是 我 们 目 

己 的 LAN 嘛 ! 所 以 是 信任 网 域 之 一 嘿 ! 不 过 ， 最 常 听 到 的 入 侵 方 法 也 
是 使 用 这 


样 的 一 个 信任 漏洞 ! ”因为 你 不 能 保证 所 有 使 用 企业 内 部 计算 机 的 用 户 
都 是 公司 


的 员工 ， 也 无 法 保证 你 的 员工 不 会 『 搞 破坏 ! 上 更 多 时 候 是 由 于 茶 些 
外 来 访客 


0 


部 的 重要 信息 。 


呵呵 ! 所 以 ， 如 果 你 有 特别 重要 的 部 门 需要 更 安全 的 保护 网 络 环境 ， 那 
么 将 LAN 


里 面 再 加 设 一 个 防火 墙 ， 将 安全 等 级 分 类 ， 那 么 将 会 让 你 的 重要 数据 获 
得 更 佳 的 


保护 蚂 ! 整个 典 构 有 点 像 下 图 所 示 。 
图 9.1-3、 内 部 网 络 包含 需 要 更 安全 的 子 网 防火 增 








在 防火 墙 的 后 面 染 设 网 络 服务 器 主机 
0 
， 这 


什么 好 处 呢 ? 如 下 图 所 示 ，Web，Mail 与 FTP 都 是 透 过 防火 墙 连 到 


Internet 


上 面 去 ， 所 以 ， 底下 这 四 部 主机 在 Internet 上 面 的 Public IP 都 是 一 样 
的 ! 


(这 个 观念 我 们 会 在 本 章 底下 的 NAT 服务 器 的 时 候 再 次 的 强调 )。 只 是 
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普 的 封包 分 析 后 ， 将 WWW 的 要 求 封包 转送 到 Web 主机 ， 将 Mail 送 给 
Mail 


Server 去 处 理 而 已 ( 透 过 port 的 不 同 来 转 递 )。 
好 了 ， 因为 四 部 主机 在 Internet 上 面 看 到 的 IP 都 相同 ， 但 是 事实 上 却 是 


口 


不 同 的 主机 ， 而 当 有 攻击 者 想 要 入 侵 你 的 FTP 主机 好 了 ， 他 使 用 各 种 


分 析 方 法 


去 进攻 的 主机 ， 其 实 是 『 防 火 墙 ] 那 一 部 ， ”攻击 者 想 要 攻击 你 内 部 的 
主机 ， 除 


非 他 能 够 成 功 的 搞定 你 的 防火 场 ， 否 则 就 很 难 入 侵 你 的 内 部 主机 呢 ! 


而 且 ， 由 于 主机 放置 在 两 部 防火 墙 中 间 ， 内 部 网 络 如 果 发 生 状 况 时 ( 例 
如 某 些 使 


用 者 不 民 操 作 导 致 中 毒 啊 、 ”被 社交 工程 攻陷 导致 内 部 主机 个 绑架 啊 等 


等 的 ) ， 


古 不 会 影响 到 网 络 服务 器 的 正常 运作 的 。 ”这 种 方式 适用 在 比较 大 型 的 
企业 当中 ， 
因为 对 这 些 企 业 来 说 ， 网 络 主机 能 否 提 供 正常 稳定 的 服务 是 很 重要 的 ! 


不 过 ， 这 种 架构 下 所 进行 的 设 定 束 得 包含 port 的 转 递 ， 而 且 要 有 很 强 的 
网 络 逻 


可 以 厘清 封包 双 同 沟通 时 的 流动 方式 。 对 于 新 手 来 说， 设 定 
一 定 


的 难度 ，“ 乌 哥 个 人 不 太 建 议 新 手 这 么 做 ， 还 是 等 以 后 有 经 验 之 后 再 来 
玩 这 种 以 


构 吧 ! 
图 9.1-4、 架 设 在 防火 墙 后 端的 网 络 服务 器 环境 示意 图 


A 
络 ， 我 们 称 


之 为 非 军事 区 域 (DMZ)。 DMZ 的 目的 就 如 同 前 面 提 到 的 ， 重 点 在 保护 
服务 器 本 
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2 以 将 Internet 与 LAN 都 隔离 开 来 ， 如 此 一 来 不 论 古 服务 器 本 冉 ， 


是 LAN 被 攻陷 时 ， 另 一 个 区 块 还 是 完好 无 缺 的 ! 
9.1.5 防火 墙 的 使 用 限制 


从 前 面 的 分 析 中 ， 我 们 已经 知道 过 圭 包 尖 式 防火 增 主 要 在 分 析 OSI 七 导 
办 议 当 


的 2, 3, 4 层 ， 既 然 如 此 的 话 ， Linux 的 Netfilter 机 制 到 底 可 以 做 些 什么 
事情 呢 ? 


其 实 可 以 进行 的 分 析 工 作 主 要 有 : 
拒绝 让 Internet 的 封包 进入 主机 的 菜 些 痢 口 口 


这 个 应 该 不 难 了 解 吧 ! 例如 你 的 port 21 这 个 FTP 相关 的 起 口 ， 若 只 想 
要 开放 


给 内 部 网 络 的 话 ， 那 么 当 Internet 来 的 封包 想 要 进入 你 的 port 21 时 ， 整 


可 


以 将 该 数据 封包 丢掉 ! 因为 我 们 可 以 分 析 的 到 该 封包 表 头 的 端口 口号 码 
呀 ! 





拒绝 让 某 些 来 源 IP 的 封包 进入 


.0 IP 主要 都 是 来 自 攻击 行为 的 主机 ， 那 么 只 要 来 自 
该 卫 几 


数据 封包 ， 残 将 他 丢弃 ! 这 样 也 可 以 达到 基础 的 安全 哆 ! 
拒绝 让 带 有 茶 些 特殊 旗 标 (flag) 的 封包 进入 


最 第 拒绝 的 就 是 带 有 ”SYN 的 主动 联机 的 旗 标 了 ! 只 要 一 经 发 现 ， 嘿 
嘿 ! 你 就 可 





以 将 该 封包 丢弃 呀 ! 

分 析 硬 件 地 址 (MAC) 来 决定 联机 与 否 
如 果 你 的 局 域 网 络 里 面 有 比较 揭 和 捍 的 但 是 又 具有 比较 高 强 的 网 络 功力 的 
高 手 时 ， 


融 于 





“S00 IP 来 抵挡 他 使 用 网 络 的 权限 ， 而 他 却 异 得 反正 换 一 个 IP 残 
Fs 


都 在 同一 个 网 域内 嘛 ! ”同样 还 是 在 搞 破 坏 ~~ 上 怎么 办 ? 没关系 ， 我 们 可 
以 死 锁 他 


的 网 络 卡 硬件 地 址 啊 ! 因为 MAC 是 焊 在 网 络 卡 上 面 的 ， 所 以 你 只 要 分 
析 到 该 使 


的 MAC 之 后 ， 可 以 利用 防火 墙 将 该 MAC 锁 住 ， 呵 呵 ! 除 
能 够 一 


换 再 换 他 的 网 络 卡 来 取得 新 的 MAC， 人 否则 换 瑟 是 没有 用 的 啦 ! 


虽然 Netfilter 防火 墙 已 经 可 以 做 到 这 么 多 的 事情 ， 不 过 ， 还 是 有 很 多 事 
情 没 有 


办 法 透 过 Netfilter 来 完成 喔 ! 什么 ? 设 定 防火 墙 之 后 还 不 安全 啊 ! 那 当 
然 啦 ! 谁 说 


设 定 了 防火 墙 之 后 你 的 系统 就 一 定安 全 ? 防火墙 虽 然 可 以 防止 不 受 欢 
迎 的 封包 进入 我 


们 的 网 络 当中 ， 不 过 ， 茶 些 情况 下 ， 他 并 不 能 保证 我 们 的 网 络 一 定 就 很 
安全 。 举 几 个 


例子 来 谈 一 谈 : 
防火 墙 并 不 能 很 有 效 的 抵挡 病毒 或 木马 程序 
假设 你 已 经 开放 了 WWW 的 服务 ， 那 么 你 的 WWW 主机 上 面 ， 防 火 寺 


一 定 得 要 将 








WWW 服务 的 port 开放 给 Client 端 登入 才 行 吧 ! 否则 你 的 WWW 主机 
设 害 了 等 


于 没有 用 对 吧 ! 也 就 是 说 ， 只 要 进入 你 的 主机 的 封包 是 要 求 WWW 数 
据 的 ， 束 可 


以 通过 你 的 防火 墙 。 那 好 了 ， [万 一 你 的 WWW 服务 占 软 件 有 湄 洞 ， 
或 者 本 里 问 
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WA 
省 可 是 一 点 


办 法 也 没有 啊 ! 因为 本 来 设 定 的 规则 就 是 会 让 他 通过 啊 。 
防火 墙 对 于 来 自 内 部 LAN 的 攻击 较 无 承受 力 
一 般 来 说 ， 我 们 对 于 LAN 里 面 的 主机 都 没有 什么 防火 墙 的 设 定 ， 因 为 


征 我 们 目 


己 的 LAN 啊 ， 所 以 当然 就 设 定 为 信任 网 域 了 ! 不 过 ，LAN 里 面 总 是 可 
能 有 些 网 


络 小 白 啊 ， 虽 然 他 们 不 是 故意 要 搞 破 坏 ， ”但 是 他 们 就 是 不 情 呆 ! 所 以 
束 乱 用 网 


络 了 。 这 个 时 候 就 很 糟 糙 ， 因 为 防火 场 对 于 内 部 的 规则 设 定 通 利 比 较 
少 ， 上 所 以 


就 容易 造成 内 部 员工 对 于 网 络 误 用 或 滥用 的 情况 。 
壮 的 图 7.1-1 的 说 明 去 看 看 ， 分 析 一 下 该 图 示 ， 


















道 ， 在 你 的 Linux 主机 实地 上 网 之 前 ， 还 是 得 先 : 
关闭 几 个 不 安全 的 服务 ; 





升级 几 个 可 能 有 问题 的 套件 ; 
架设 好 最 起 码 的 安全 防护 -防火 增 -- 





9.2 TCP Wrappers 


在 进入 主题 之 前 ， 我 们 先 来 玩 一 个 简单 的 防火 墙 机 制 ， 那 就 是 TCP 
Wrappers 这 玩 


意 儿 。 如 同 前 面 说 的 ， TCP wrappers 是 透 过 客户 端 想 要 链接 的 程序 文 
件 名 ， 然 后 分 析 


客户 端的 IP ， 看 看 是 否 需 要 放行 。 那 么 哪些 程序 支持 TCP wrappers 的 
功能 ?这 个 








TCP i A 改定? 我们 这 里 先 简 单 的 谈 谈 吧 ! (这 个 小 节 仅 
是 简单 的 介 


TCP wrappers ， 关 功 能 请 参考 基础 学 习 篇 的 第 十 八 童 内 容 喔 ! ) 
9.2.1 哪些 服务 有 支持 
说 穿 了 ， TCP wrappers 就 是 透 过 /etc/hosts.allow, /etc/hosts.deny 这 两 个 


宝贝 重 来 管理 的 一 个 类 似 防火 增 的 机 制 ， ”但 并 非 所 有 的 软件 都 可 以 透 
过 这 两 个 档案 来 


控 管 ， 只 有 雄 下 的 软件 才能 够 透 过 这 两 个 档案 来 管理 防火 场 规 则 ， 分 别 


日 
AE: 





由 super daemon (xinetd) 所 管理 的 服务 ; 
有 支援 libwrap.so 模块 的 服务 。 
net.giang(@hotmail.com 


经 由 xinetd 管理 的 服务 还 好 理解 ， 就 是 配置 文件 在 /etc/xinetd.d/ 里 面 的 
服务 


就 是 xinetd 所 管理 的 啊 ! 那么 什么 是 有 文 持 libwrap.so 模块 呢 ?” 就 让 我 
们 来 进行 


底下 的 例题 ， 你 就 比较 容易 明日 吃 : 
例题 : 


请 查 出 你 的 系统 有 没有 安装 xinetd ， 若 没有 请 安装 。 安 装 完毕 后 ， 请 查 
询 


xinetd 管理 的 服务 有 哪些 ? 


双 : 。 
Er 








[root@www ~]# yum install xinetd 

Setting up Install Process 

Package 2:xinetd-2.3.14-29.el6.x86_64 already installed and latest 
version 

Nothing to do 

# 画面 中 显示 ， 己 经 是 最 新 的 xinetd ! 所 以 ， 已 经 有 安装 嗓 ! 
# 接 下 来 找 出 xinetd 所 管理 的 服务 群 ! 


[root@www ~]# chkconfig xinetd on <== 要 先 让 xinetd on 后 才能 看 到 底 








下 的 

[root@www ~]# chkconfig --list 

…( 前 面 省 略 )..… 

xinetd based services: 

chargen-dgram: off 

chargen-stream: off 

…( 中 间 省 略 ).… 

rsync: off <== 下 一 小 节 的 范例 承 用 这 玩意 儿 来 解释 
tcpmux-server: off 

telnet: on 


上 述 结果 最 终 输出 的 部 分 束 是 xinetd 所 管理 的 服务 群 吃 ! 
防火 墙 简 


易 设 定 ， 都 可 以 透 过 TCP wrappers 来 管理 的 噜 ! 


例题 : 


上 述 的 服务 之 


请 问 ， rsyslogd，sshd，xinetd，httpd ( 若 该 服务 不 存在 ， 请 自行 安装 软 


件 )， 
这 四 个 程序 有 没有 支持 tcp wrappers 的 抵挡 功能 ? 
然 . 


Er 


支持 tcp wrappers 的 服务 必定 包含 libwrap 这 一 个 动态 函 式 库 ， 因 此 
口 


以 使 用 1dd 来 观察 该 服务 即 可 。 人 简单 的 使 用 方式 为 : 


[root@www ~l]# ldd $(which rsyslogd sshd xinetd httpd) 
# 这 个 方式 可 以 将 所 有 的 动态 函 式 库 取 出 来 查阅 ， 不 过 需要 眼睛 搜寻 。 
# 可 以 透 过 底下 的 方式 来 处 理 更 快 ! 











[root@www ~]# for name in rsyslogd sshd xinetd httpd; do echo $name; 
net.qiang(Ohotmail.com 
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\ 

> ldd $(which $name) | grep libwrap; done 

rsyslogd 

sshd 

libwrap.so.0 => /lib64/libwrap.so.0 (0x00007fb41d3c9000) 
xinetd 

libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f6314821000) 
httpd 


上 述 的 结果 中 ， 在 该 档 名 档 下 有 出 现 libwrap 的， 代表 有 找到 该 函 式 
库 ， 才 有 支持 


tcp wrappers。 所 以 ， sshd, xinetd 有 文 持 ， 但 是 rsyslogd, httpd 这 两 支 程 
序 


则 不 支持 。 也 就 是 说 ， httpd 与 rsyslogd 不 能 够 使 用 /etc/hosts. 
{allow|deny} 


来 进行 防火 墙 机 制 的 控 管 。 





9.2.2 /etc/hosts.{allow|deny} 的 设 定 方式 


ee IP 来 源 呢 ?这 两 个 档案 的 语法 
一 样 ， 很 


简单 的 : 

<service(program_name)> : <IP, domain, hostname> 
< 服务 ( 亦 即 程序 名 称 )> : <IP 或 领域 或 主机 名 > 

# 上 头 的 > < 是 不 存在 于 配置 文件 中 的 喔 ! 


我 们 知道 防火 墙 的 规则 部 是 有 顺序 的 ， 那 这 两 个 档案 与 规则 的 顺序 优先 
是 怎样 呢 ? 基 本 


上 是 这 样 的 : 
先 以 /etc/hosts.allow 为 优先 比 对 ， 该 规则 符合 就 予以 放行 ; 
再 以 /etc/hosts.deny 比 对 ， 规 则 符合 就 子 以 抵挡 ; 
右 不 在 这 两 个 档案 内 ， 亦 即 规则 都 不 符合 ， 最 终 则 了 予以 放行 。 
我 们 拿 rsync 这 个 xinetd 管理 的 服务 来 进行 说 明 好 了 ， 请 参考 底下 的 例 


题 吧 
例题 : 
先 开放 本 机 的 127.0.0.1 可 以 进行 任何 本 机 的 服务 ， 然 后 ， 让 区 网 


(192.168.1.0/24) 可 以 使 用 rsync ， 同 时 10.0.0.100 也 能 够 使 用 rsync ， 但 


一 


他 来 源 则 不 允许 使 用 rsync 喔 。 


2 
Er: 








我 们 得 要 先知 道 rsync 的 服务 局 动 的 档 名 为 何 ， 因 为 tcp wrappers 是 透 


过 启 
动 服务 的 档 名 来 管理 的 。 当 我 们 观察 rsync 的 配置 文件 时 ， 可 以 发 现 : 
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[root@www ~]# cat /etc/xinetd.d/rsync 
service rsync 

| 

disable = yes 

flags = IPv6 

socket_type = stream 

wait = no 

user = root 

server = /usr/bin/rsync <== 档 名 叫做 rsync 
server_args = --daemon 

log_on failure += USERID 

} 


ee rsync 喔 ! 因此 ， 我们 应 该 要 这 样 设 定 
和: 


[root@www ~]# vim /etc/hosts.allow 


ALL: 127.0.0.1 <== 这 就 是 本 机 全 部 的 服务 都 接受 ! 


rsync: 192.168.1.0/255.255.255.0 10.0.0.100 
[root@www ~]# vim /etc/hosts.deny 
rsync: ALL 


上 面 的 例题 有 几 个 重点 ， 首 先 ， tcp wrappers 理论 上 不 支持 
192.168.1.0/24 这 


种 透 过 bit 数值 来 定义 的 网 域 ， 只 支持 netmask 的 地 址 显示 方式 。 男 
外 ， 如 果 有 多 


个 网 域 或 者 是 单一 来 源 ， 可 以 透 过 空格 来 累加 。 如 果 想 要 写成 多 行 
呢 ? 也 可 以 啊 ! 多 


写 几 行 『 kshd: IP 」 的 方式 也 可 以 ， 不 必要 将 所 有 数据 集中 在 一 行 啦 ! 
因为 tcp 


wrappers 也 是 一 条 一 条 规则 比 对 啊 ! 


基本 上 ， 你 只 要 理解 这 些 数 据 即 可 ! 因为 绝 大 部 分 的 时 刻 ， 我 们 都 会 建 
议 使 用 瓜 下 


介绍 的 Netfilter 的 机 制 来 抵挡 封包 。 那 让 我 们 准备 开始 来 玩 玩 iptables 


封包 过 渡 
防火 墙 吧 ! 
9.3 Linux 的 封包 过 小 软件 : iptables 


上 面谈 了 这 么 多 ， 主 要 还 是 希望 你 能 了 解 到 防火 墙 是 什么 这 个 议题 ! 而 
且 也 希望 你 


知道 防火 墙 并 非 万 能 的 。 好 了 ， 那 么 底下 我 们 终于 可 以 来 瞧 一 瞧 ， 那 
目前 我 们 的 2.6 版 


这 个 Linux 核心 到 底 使 用 什么 核心 功能 来 进行 防火 墙 设 定 ? 
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D 
名 
9.3.1 不同 Linux 核心 版 本 的 防火 墙 软件 


Linux 的 防火 墙 为 什么 功能 这 么 好 ? 这 是 因为 他 本 喘 就 是 由 Linux 核心 
所 提供 ， 


由 于 直接 经 过 核心 来 处 理 ， 因 此 效能 非常 好 ! ” 不过， 不同 核心 版 本 所 
使 用 的 防火 墙 软 


件 是 不 一 样 的 ! 因为 核心 支持 的 防火 墙 是 逐渐 演进 而 来 的 嘛 ! 

Version 2.0: 使 用 ipfwadm 这 个 防火 墙 机 制 |; 

Version 2.2: 使 用 的 是 ipchains 这 个 防火 墙 机 制 ; 

Version 2.4 与 2.6 : 主要 是 使 用 iptables 这 个 防火 墙 机 制 ， 不 过 在 某 
些 早期 的 Version 2.4 版 本 的 distributions 当中 ， 亦 同时 支持 ipchains ( 编 
ee 好 让 用 户 仍然 可 以 使 用 来 自 2.2 版 的 ipchains 的 防火 墙 规 


不 过 ， 不 建议 在 2.4 以 上 的 核心 版 本 使 用 ipchains 喔 ! 


因为 不 同 的 核心 使 用 的 防火 墙 机 制 不 同 ， 且 支持 的 软件 指令 与 语法 也 不 
相同 ， 所 以 


在 Linux 上 头 设 定 属 于 你 自己 的 防火 墙 规则 时 ， 要 注意 啊 ， 先 用 uname 
工 追 踪 一 下 


你 的 核心 版 本 再 说 ! 如 果 你 是 安装 2004 年 以 后 推出 的 distributions ， 那 
就 不 需要 


担心 了 ， 因 为 这 些 distributions 几乎 都 使 用 kernel 2.6 版 的 核心 啊 ! 信人 
9.3.2 封包 进入 流程 : 规则 顺序 的 重要 性 ! 





前 面 的 几 个 小 市 里 面 我 们 一 直 谈 到 : 『 防 火 墙 规则 」】， 喷 ! 喻 是 规则 
啊 ? 因为 


iptables 是 利用 封包 过 滤 的 机 制 ， 所 以 他 会 分 析 封 包 的 表 关 数据。 根据 
表 头 数据 与 定 


义 的 『 规 则 」 来 决定 该 封包 是 否 可 以 进入 主机 或 者 是 被 丢弃 。 ”意思 就 
是 说 : 『 根 据 封 


包 的 分 析 资 料 " 比 对 "你 预先 定义 的 规则 内 容 ， 大 封包 数据 与 规则 内 容 
相同 则 进行 动 


作 ， 人 否则 惑 继续 下 一 条 规则 的 比 对 ! ] 重点 在 那个 『 比 对 与 分 析 顺 
语 E 


举 个 简单 的 例子 ， 假 设 我 预先 定义 ”10 条 防火 墙 规则 好 了 ， 那 么 当 
Internet 来 了 


一 个 封包 想 要 进入 我 的 主机 ， ”那么 防火 墙 是 如 何 分 析 这 个 封包 的 呢 ? 
我 们 以 后 下 的 图 


示 来 说 明 好 了 : 
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图 9.3-1、 封 包 过 滤 的 规则 动作 及 分 析 流 程 
当 一 个 网 络 封 包 要 进入 到 主机 之 前 ， 会 先 经 由 NetFilter 进行 检查 ， 那 就 


日 
A 


iptables 的 规则 了 。 检查 通过 则 接受 (ACCEPT) 进入 本 机 取得 资源 ， 如 
果 检 查 不 通过 ， 


则 可 能 予以 丢弃 (DROP) ! 上 图 中 主要 的 目的 在 告知 你 『 规 则 是 有 顺 
序 的 ] ! 例如 


当 网 络 封 包 进入 Rule 1 的 比 对 时 ， 如 果 比 对 结果 符合 Rule 1 ， 此 时 这 
个 网 络 封 包 


就 会 进行 Action 1 的 动作 ， 而 不 会 理会 后 续 的 Rule 2, Rule 3..… 等 规则 
的 分 析 了 。 





而 如 果 这 个 封包 并 不 符合 Rule 1 的 比 对 ， 那 束 会 进入 Rule 2 的 比 对 
.LW 


个 一 个 规则 去 进行 比 对 就 是 了 。 ” 那 如 果 所 有 的 规则 都 不 符合 怎 办 ?此 
时 惑 会 透 过 预 设 


动作 (封包 政策 , Policy) 来 决定 这 个 封包 的 去 癌 。 所 以 啦 ， 当 你 的 规则 
顺序 排列 错 


误 时 ， 就 会 产生 很 严重 的 错误 了 。 ”怎么 说 呢 ? 让 我 们 看 看 底下 这 个 例 
子 : 





假设 你 的 Linux 主机 提供 了 WWW 的 服务 ， 那 么 自然 就 要 针对 port 80 
来 局 用 通 


过 的 封包 规则 ， 但 是 你 发 现 IP 来 源 为 192.168.100.100 老 是 恶意 的 尝试 
入 侵 你 的 系 


统 ， 所 以 你 想 要 将 该 IP 拒绝 往来 ， 最 后 ， 所 有 的 非 WWW 的 封包 都 给 
他 丢弃 ， 就 这 三 


个 规则 来 说 ， 你 要 如 何 设 定 防火 墙 检验 顺序 呢 ? 
1. Rule 1 先 抵挡 192.168.100.100 ; 

2. Rule 2 再 让 要 求 WWW 服务 的 封包 通过 ; 

3. Rule 3 将 所 有 的 封包 丢弃 。 





net.qiang(Ohotmail.com 


0 






站 


Chain， PREROUTING 


Chain: POSTROUTING 
Policy 
Rule 1 


J ee ee se ee se me me me ee ee ee ee me me ee ee me em em ee ed 


的 排列 顺序 就 能 符合 


1. Rule 1 先 让 要 求 WWW 服务 的 封包 通过 
2. Rule 2 再 抵挡 192.168.100.100 ; 
3. Rule 3 将 所 有 的 封包 丢弃 。 


此 时 ， 那 个 192.168.100.100 『 可 以 使 用 你 的 WWW 服务 」 喔 ! 只 要 他 
对 你 的 主机 


送出 WWW 要 求 : 2 束 可 以 使 用 你 的 WWW 功能 了 ， 因 为 你 的 规则 
顺序 定义 第 一 条 讽 


让 他 通过 ， 而 不 去 考虑 第 二 条 规则 ! 这 样 可 以 理解 规则 顺序 的 意义 了 
吗 ! 现在 再 来 想 


一 想 ， 如 果 Rule 1 变 成 了 将 所 有 的 封包 丢弃 」，Rule 2 才 设 定 


[WWW 服务 封包 通 
过 」， 请 问 ， 我 的 client 可 以 使 用 我 的 WWW 服务 吗 ? 呵呵 ! 答案 是 


『 否 一 」 想 通 了 

吗 ? 和信 

9.3.3 iptables 的 表格 (table) 与 链 (chain) 

事实 上 ， 那 个 图 9.3-1 所 列 出 的 规则 仅 是 iptables 众多 表格 当中 的 一 个 链 


(chain) 而 已 。 什么 是 链 呢 ? 这 得 由 iptables 的 名 称 说 起 。 为 什么 称 为 
ip"tables" 


呢 ? 因为 这 个 防火 增 软 件 里 面 有 多 个 表格 (table) ， 每 个 表格 都 定义 出 
自己 的 默认 政 


傈 与 规则 ， ” 且 每 个 表格 的 用 途 都 不 相同 。 我 们 可 以 使 用 底下 这 张 图 来 
稍微 了 解 一 下 : 


图 9.3-2、iptables 的 表格 与 相关 链 示 意图 





net.qiang(Ohotmail.com 


ee 4 是 图 9.3-2 内 的 某 个 chain 而 已 ! 而 预 设 的 
青 况 


下 ， 虽 们 Linux 的 iptables 至 少 就 有 三 个 表格 ， 包 括 管理 本 机 进出 的 


filter 、 管 


理 后 端 主机 (防火 墙 内 部 的 其 他 计算 机 ) 的 nat 、 管 理 特殊 旗 标 使 用 的 


mangle ( 较 少 


使 用 ) 。 更 有 其 者 ， 我 们 还 可 以 自 定义 额外 的 链 呢 ! 真是 很 神奇 吧 ! 
个 表格 与 其 中 


链 的 用 途 分 别 是 这 样 的 : 
filter (过 滤器 ): 主要 跟 进 入 Linux 本 机 的 封包 有 关 ， 这 个 是 预 设 的 





table 喔 ! 
oINPUT: 主要 与 想 要 进入 我 们 Linux 本 机 的 封包 有 关 ; 
oOUTPUT: 主要 与 我 们 Linux 本 机 所 要 送出 的 封包 有 关 ; 
0 FORWARD: 这 个 吃 噬 与 Linux 本 机 比较 没有 关系 ， 他 可 以 『 转 递 封 
包 」 到 后 端的 计算 机 中 ， 与 下 列 nat table 相关 性 较 高 。 

nat (地 址 转换 ): 是 Network Address Translation 的 缩写 ， 这 个 表格 主 
ee 的 之 IP 或 port 的 转换 ， 与 Linux 本 机 较 无 关 ， 主 要 


Linux 主机 后 的 局 域 网 络 内 计算 机 较 有 相关 。 


0 PREROUTING: 在 进行 路 由 判断 之 前 所 要 进行 的 规则 
(DNAT/REDIRECT) 


0 POSTROUTING: 在 进行 路 由 判断 之 后 所 要 进行 的 规则 
(SNAT/IMASQUERADE) 

0 OUTPUT: 与 发 送出 去 的 封包 有 关 

en (破坏 者 ): 这 个 表格 主要 是 与 特殊 的 封包 的 路 由 旗 标 有 关 ， 早 








有 PREROUTING 及 OUTPUT 链 ， 不 过 从 kernel 2.4.18 之 后 加 入 了 
INPUT 及 


FORWARD 链 。 由 于 这 个 表格 与 特殊 旋 标 相关 性 较 高 ， 所 以 像 咱们 这 
种 单纯 的 环 


境 当 中 ， 较 少 使 用 mangle 这 个 表格 。 
所 以 说 ， 如 琳 你 的 Linux 是 作为 www 服务 ， 那 么 要 开放 客户 端 对 你 的 


www 要 5 





有 啊 应 ， 融 得 要 处 理 filtter 的 INPUT 链 ; 而 如 果 你 的 Linux 是 作为 局 域 
网 络 的 路 


由 器 ， 那 么 就 得 要 分 析 nat 的 各 个 链 以 及 filter 的 FORWARD 链 才 行 。 
也 就 是 说 ， 其 


实 各 个 表格 的 链 结 之 间 是 有 关系 的 ! 简单 的 关系 可 以 由 下 图 这 么 看 : 
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Linux 


本 机 的 资源 路 由 判断 


OUTPUT 








> 


POSTROUTING 
PREROUTING SO 





图 9.3-3、iptables 内 建 各 表格 与 链 的 相关 性 


上 面 的 图 示 很 复杂 喔 ! 不 过 基本 上 你 依旧 可 以 看 出 来 ， 我 们 的 ”iptables 
可 以 控制 


三 种 封包 的 流 癌 : 
封包 进入 Linux 主机 使 用 资源 (路 径 A): 在 路 由 判断 后 确定 是 向 


Linux 








主机 要 求 数 据 的 封包 ， 主 要 惑 会 透 过 filter 的 INPUT 链 来 进行 控 管 ; 


Linux 主机 的 转 递 ， 没 有 使 用 主机 资源 ， 而 是 癌 后 端 主机 流 
动 ( 


径 B): 在 路 由 判断 之 前 进行 封包 表 头 的 修订 作业 后 ， 发 现 到 封包 主要 


防火 墙 而 去 后 端 ， 此 时 封包 就 会 透 过 路 径 B 来 跑 动 。 也 就 是 说 ， 该 封 
包 的 目标 


并 非 我 们 的 Linux 本 机 。 主 要 经 过 的 链 是 filter 的 FORWARD 以 及 nat 
的 
POSTROUTING, PREROUTING。 这 路 径 B 的 封包 流向 使 用 情况 ， 我 们 
会 在 本 章 的 
9.5 小 节 来 跟 大 家 作 个 简单 的 介绍 

封包 由 Linux 本 机 发 送出 去 (路 径 C): 例如 响应 客户 端的 要 求 ， 或 者 


日 
A 


| 0 都 是 透 过 路 径 C 来 跑 的 。 先 是 透 过 路 由 判 
所， 


定 了 输出 的 路 径 后 ， 再 透 过 filter 的 OUTPUT 链 来 传送 的 ! 当然 ， 最 终 


还 是 会 
经 过 nat 的 POSTROUTING 链 。 
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Tips: 





有 没有 发 现 有 两 个 【路 由 判断 」 呢 ?因为 网 络 是 双向 的 ， 所 以 进 与 
出 要 分 开 来 看 ! 因此 ， 进 入 的 封包 需要 路 由 判断 ， 送出 的 封包 当然 
也 要 进行 路 由 判断 才能 够 发 送出 去 啊 ! 了 解 乎 ? 


由 于 mangle 这 个 表格 很 少 被 使 用 ， 如 果 将 图 9.3-3 的 mangle 拿 掉 的 
话 ， 那 就 容易 


看 的 多 了 : 
图 9.3-4、iptables 内 建 各 表格 与 链 的 相关 性 ( 简 图 ) 
透 过 图 9.3-4 你 束 可 以 更 轻松 的 了 解 到 ， 事 实 上 与 本 机 最 有 关 的 其 实 是 


filter 


这 个 表格 内 的 INPUT 与 OUTPUT 这 两 条 链 ， 如 果 你 的 iptables 只 是 用 
来 保护 Linux 


主机 本 身 的 话 ， 那 nat 的 规则 根本 就 不 需要 理 他 ， 直 接 设 定 为 开放 即 
可 。 








不 过 ， 如 宋 你 的 防火 场 事实 上 是 用 来 管制 LAN 内 的 其 他 主机 的 话 ， 那 
么 你 就 必须 


要 再 针对 filter 的 FORWARD 这 条 链 ， 还 有 nat 的 PREROUTING,， 
POSTROUTING 以 及 


OUTPUT 进行 额外 的 规则 订 定 才 行 。 nat 表格 的 使 用 需要 很 清晰 的 路 由 
概念 才能 够 设 定 


的 好 ， 建 议 新 手 先 不 要 碰 ! 最 多 就 是 先 填 一 填 最 阳春 的 nat 功能 『IP 分 
译 右 的 功能 


就 好 了 ! 和 人! 这 部 份 我 们 在 本 章 的 最 后 一 小 节 会 介绍 的 啦 ! 
9.3.4 本 机 的 iptables 语法 


理论 上 ， 当 你 安装 好 Linux 之 后 ， 系 统 应 该 会 主动 的 帮 你 启动 一 个 阳春 
的 防火 增 

规则 才 是 ， ”不 过 这 个 阳春 防火 墙 可 能 不 是 我 们 想 要 的 模式 ， 因 此 我 们 
再 要 额外 进行 一 

些 修订 的 行为 。 不 过 ， 在 开始 进行 底下 的 练习 之 前 ， ” 马 哥 这 里 有 个 很 
重要 的 事情 要 告 


知 一 下 。 因 为 iptables 的 指令 会 将 网 络 封 包 进行 过 小 及 抵挡 的 动作 ， 所 
以 ， 请 不 要 
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在 远程 主机 上 进行 防火 墙 的 练习 ， 因 为 你 很 有 可 能 一 不 小 心 将 自己 关 在 


家 门 外 ! 尽量 


在 本 机 前 面 登 入 ttyl-tty6 终端 机 进行 练习 ， 否 则 利 常 会 发 生 亚 剧 啊 ! 乌 
哥 以 前 刚刚 


在 玩 iptables 时 ， 束 常常 因为 不 小 心 规则 设 定 错误 ， 导 致 常常 要 请 远程 
的 朋友 帮忙 重 


新 启动 … 
刚刚 提 到 咀 们 的 iptables 至 少 有 三 个 预 设 的 table (filter, nat, mangle)， 较 


常用 的 是 本 机 的 filter 表格 ， 这 也 是 默认 表格 啦 。 另 一 个 则 是 后 端 主机 
的 nat 表格 ， 


至 于 mangle 较 少 使 用 ， 所 以 这 个 章节 我 们 并 不 会 讨论 mangle。 由 于 不 
同 的 table 他 


们 的 链 不 一 样 ， 导 致使 用 的 指令 语法 或 多 或 少 都 有 点 差异 。 ”在 这 个 小 
节 当 中 ， 我 们 主 


要 将 针对 fiter 这 个 默认 表格 的 三 条 链 来 做 介绍 。 底 下 就 来 玩 一 玩 吧 ! 








Tips: 
防火 墙 的 设 定 主要 使 用 的 束 古 iptables 这 个 指令 而 已 。 而 防火 墙 

是 系统 管理 员 的 主要 任务 之 一 ， 且 对 于 系统 的 影响 相当 的 大 ， 因 此 
[只 能 让 root 使 用 iptables 上 」， 不 论 是 设 定 还 是 观察 防火 墙 规 
则 喔 ! 

9.3.4-1 规则 的 观察 与 清除 


如 果 你 在 安装 的 时 候选 择 没有 防火 增 的 话 ， 那 么 iptables 在 一 开始 的 时 
候 应 该 是 


没有 规则 的 ， 不 过 ， ”可 能 因为 你 在 安装 的 时 候 就 有 选择 系统 自动 帮 你 


建立 防火 场 机 制 ， 


那 系统 束 会 有 默认 的 防火 墙 规则 了 ! ”无 论 如 何 ， 我 们 先 来 看 看 目前 本 
机 的 防火 墙 规则 


是 如 何 吧 ! 

[root@www ~]# iptables [-t tables] [-L] [-nv] 

选项 与 参数 : 

-t : 后 面 接 table ， 例 如 nat 或 filter ， 若 省 略 此 项 目 ， 则 使 用 默认 的 
filter 

-L: 列 出 目前 的 table 的 规则 

-n : 不 进行 卫 与 HOSTNAME 的 反 查 ， 显 示 讯 息 的 速度 会 快 很 多 ! 

-V : 列 出 更 多 的 信息 ， 包 括 通过 该 规则 的 封包 总 位 数 、 相 关 的 网 络 接口 








范例 : 列 出 filter table 三 条 链 的 规则 
[root@www ~|]# iptables -L -n 


Chain INPUT (policy ACCEPT) <== 针 对 INPUT 链 ， 且 预 设 政策 为 可 接 
2 


target prot opt source destination <== 说 明 栏 

ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 
<== 第 1 条 规则 

ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 


<== 第 2 条 规则 


ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 
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<== 第 3 条 规则 

ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 
<== 以 下 类 扒 

REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with 
icmp-host-prohibited 


Chain FORWARD (policy ACCEPT) <== 针 对 FORWARD 链 ， 且 预 设 政 
俩 为 可 接 


之 


target prot opt source destination 
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with 
icmp-host-prohibited 


Chain OUTPUT (policy ACCEPT) <== 针 对 OUTPUT 链 ， 且 预 设 政 策 为 
可 接受 


target prot opt source destination 

范例 : 列 出 nat table 三 条 链 的 规则 
[root@www ~|]# iptables -tnat -L -n 
Chain PREROUTING (policy ACCEPT) 
target prot opt source destination 


Chain POSTROUTING (policy ACCEPT) 


target prot opt source destination 
Chain OUTPUT (policy ACCEPT) 
target prot opt source destination 


在 二 表 中 ， 每 一 个 Chain 就 是 前 面 提 到 的 每 个 钾 史 一 Chain 那 一 行 里 面 
舌 号 台 


policy 就 是 预 设 的 政策 ， 那 底下 的 target, prot 代表 什么 呢 ? 


Ba 代表 进行 的 动作 ， ACCEPT 是 放行 ， 而 REJECT 则 是 拒绝 ， 
eh, 


尚 有 DROP (丢弃 ) 的 项 目 ! 
prot: 代表 使 用 的 封包 协议 ， 主 要 有 tcp, udp 及 icmp 三 种 封包 格式 ; 
opt: 额外 的 选项 说 明 
source : 代表 此 规则 是 针对 哪个 『 来 源 IP」 进行 限制 ? 
destination : 代表 此 规则 是 针对 哪个 『 目 标 IP」 进行 限制 ? 
在 输出 结果 中 ， 第 一 个 范例 因为 没有 加 上 -t 的 选项 ， 所 以 默认 就 是 


filter 这 个 


表格 内 的 INPUT, OUTPUT, FORWARD 三 条 链 的 规则 嘿 。 若 针对 单机 
来 说 ，INPUT 与 


FORWARD 算是 比较 重要 的 管制 防火 墙 链 ， 所 以 你 可 以 发 现 最 后 一 条 
规则 的 政策 是 


REJECT (拒绝 ) 喔 ! 虽然 INPUT 与 FORWARD 的 政策 是 放行 
(ACCEPT)， 不 过 在 最 后 一 


条 规则 惑 已 经 将 全 部 的 封包 都 拒绝 了 ! 
不 过 这 个 指令 的 观察 只 是 作 个 格式 化 的 查阅 ， 要 详细 解释 每 个 规则 会 比 





较 不 容易 解 


析 。 举 例 来 说 ， 我 们 将 INPUT 的 5 条 规则 依据 输出 结果 来 说 明 一 下 ， 
结 采 会 变 成 : 
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1. 只 要 是 封包 状态 为 RELATED,ESTABLISHED 就 予以 接受 

2. 只 要 封包 协议 是 icmp 类 型 的 ， 就 予以 放行 

3. 无 论 任何 来 源 (0.0.0.0/0) 且 要 去 任何 目标 的 封包 ， 不 论 任 何 封包 格式 
(prot 为 al， 通通 都 接受 

4. 只 要 是 传 给 port 22 的 主动 式 联 机 tcp 封包 就 接受 

5. 全 部 的 封包 信息 通通 拒绝 


最 有 趣 的 应 该 是 第 3 条 规则 了 ， 怎 么 会 所 有 的 封包 信息 都 予以 接受 ? 如 
果 孝 接受 


的 话 ， 那 么 后 续 的 规则 根本 就 不 会 有 用 嘛 ! ”其 实 那 条 规则 是 仅 针对 每 
部 主机 都 有 的 内 


J (lo) 接口 啦 ! 如 果 没 有 列 出 接口 ， 那 么 我 们 就 很 容易 搞 


错 哆 ~ 








近来 鸟 哥 都 建议 使 用 iptables-save 这 个 指令 来 观察 防火 墙 规则 啦 ! 因为 
iptables-save 会 列 出 完整 的 防火 墙 规则， 只 是 并 没有 规格 化 输出 而 已 。 
[root@www ~]# iptables-save [-t table] 

选项 与 参数 : 

-t : 可 以 仅 针对 某 些 表格 来 输出 ， 例 如 仅 针对 nat 或 filter 等 等 





[root@www ~|]# iptables-save 


# Generated by iptables-save v1.4.7 on Fri Jul 22 15:51:52 2011 
*filter <== 星 号 开头 的 指 的 是 表格 ， 这 里 为 filter 


:INPUT ACCEPT [0:0] <== 冒 号 开头 的 指 的 是 链 ， 三 条 内 建 的 链 








:FORWARD ACCEPT [0:0] <== 三 条 内 建 链 的 政策 都 是 ACCEPT 呢 ! 
:OUTPUT ACCEPT [680:100461] 


-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT <== 针 对 
INPUT 


的 规则 
-A INPUT -p icmp -j ACCEPT 
-A INPUT -ilo -j ACCEPT <== 这 条 很 重要 ! 针对 本 机 内 部 接口 开放 ! 
-A INPUT -ptcp -m state --state NEW -m tcp --dport 22 -] ACCEPT 
-A INPUT -) REJECT --reject-with icmp-host-prohibited 
-A FORWARD -j REJECT --reject-with icmp-host-prohibited <== 针 对 
FORWARD 的 规则 
COMMIT 
# Completed on Fri Jul 22 15:51:52 2011 
由 上 面 的 输出 来 看 ， 有 底线 且 内 容 含 有 lo 的 那 条 规则 当中 ， 
[ -ilo 」 指 的 就 是 由 lo 


适 配 卡 进来 的 封包 ! 这样 看 就 清楚 多 了 ! 因为 有 写 到 接口 的 关系 啊 ! 
不 像 之 前 的 


iptables -L -n 嘛 ! 这 样 了 解 平 ! 不 过 ， 既 然 这 个 规则 不 是 我 们 想 要 的 ， 


那 该 如 何 修 


改 规则 呢 ? 鸟 哥 建 议 ， 先 删除 规则 再 慢 慢 建立 各 个 需要 的 规则 ! 
何 清除 规则 ? 这 


样 做 就 对 了 : 

[root@www ~]#iptables [-t tables] [-FEXZ] 
选项 与 参数 : 

-F : 清除 所 有 的 已 订 定 的 规则 ; 
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-X : 杀 掉 所 有 使 用 者 " 目 定 义 " 的 chain (应 该 说 的 是 tables ) 吃 ; 


-Z : 将 所 有 的 chain 的 计数 与 流量 统计 都 归 零 
范例 : 清除 本 机 防火 才 (filter) 的 所 有 规则 
[root@www ~]# iptables -F 

[root@www ~]# iptables -又 


[root@www ~]# iptables -Z 





那 如 


由 于 这 三 个 指令 会 将 本 机 防火 墙 的 所 有 规则 都 清除 ， 但 却 不 会 改变 预 设 


政策 (policy) ， 


所 以 如 果 你 不 是 在 本 机 下 达 这 三 行 指 令 时 ， 很 可 能 你 会 被 自己 挡 在 家 门 


外 ( 若 INPUT 


设 定 为 DROP 时 )! 要 小 心 啊 ! 


一 般 来 说 ， 我 们 在 重新 定义 防火 增 的 时 候 ， 都 会 先 将 规则 给 他 清除 掉 。 


还 记得 我 们 





前 面谈 到 的 ， 防火 墙 的 『 规 则 顺序 」 是 有 特殊 意义 的 ， 所 以 哆 ， 当然 
先 清除 挥 规则 ， 


然后 一 条 一 条 来 设 定 会 比较 容易 一 点 啦 。 压 下 就 来 谈 谈 定义 预 设 政信 
吧 ! 








9.3.4-2 定义 预 设 政策 (policy) 


清除 规则 之 后 ， 再 接 下 来 就 是 要 设 定 规则 的 政 集 啦 ! 还 记得 政策 指 的 是 
什么 吗 ? 


[ ” 当 你 的 封包 不 在 你 设 定 的 规则 之 内 时 ， 则 该 封包 的 通过 与 否 ， 是 以 
Policy 的 设 定 


为 准 」， 在 本 机 方面 的 预 设 政策 中 ， 假 设 你 对 于 内 部 的 使 用 者 有 信心 的 
话 ， 那么 filter 


内 的 ”INPUT 链 方面 可 以 定义 的 比较 严格 一 点 ， 而 FORWARD 与 
OUTPUT 则 可 以 订 定 的 松 


一 些 ! 通常 鸟 哥 都 是 将 INPUT 的 policy 定义 为 DROP 啦 ， 其 他 两 个 则 
定义 为 ACCEPT。 


至 于 nat table 则 暂时 先 不 理会 他 。 


[root@www ~]# iptables [-t nat] -P [INPUT,OUTPUT,FORWARD]| 
[ACCEPT,DROP] 


选项 与 参数 : 


-P : 定义 政策 (Policy )。 注 意 ， 这 个 P 为 大 写 啊 ! 








ACCEPT : 该 封包 可 接受 
DROP : 该 封包 直接 丢弃 ， 不 会 让 client 端 知道 为 何 被 丢弃 。 
范例 : 将 本 机 的 INPUT 设 定 为 DROP ， 其 他 设 定 为 ACCEPT 


[root@www ~|]# iptables -P INPUT DROP 


[root@www ~]# iptables -P OUTPUT ACCEPT 
[root@www ~]# iptables -P FORWARD ACCEPT 
[root@www ~|]# iptables-save 

# Generated by iptables-save v1.4.7 on Fri Jul 22 15:56:34 2011 
*filter 

:INPUT DROP [0:0] 

:FORWARD ACCEPT [0:0] 
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必 

:OUTPUT ACCEPT [0:0] 

COMMIT 

# Completed on Fri Jul 22 15:56:34 2011 

# 由 于 INPUT 设 定 为 DROP 而 又 尚未 有 任何 规则 ， 
所 以 上 面 的 输出 结果 显示 : 


A 
冯 哲 


的 ) 


看 到 输出 的 结果 了 吧 ? INPUT 被 修改 了 设 定 喔 ! 其 他 的 nat table 三 条 链 
的 预 设 政策 


设 定 也 是 一 样 的 方式 ， 例 如 : 『 iptables -t nat -P PREROUTING 
ACCEPT 」 就 设 定 了 








nat table 的 PREROUTING 链 为 可 接受 的 意思 ! 预 设 政 策 设 定 完毕 后 ， 
来 谈 一 谈 关 于 各 


规则 的 封包 基础 比 对 设 定 吧 。 
9.3.4-3 封包 的 基础 比 对 : IP, 网 域 及 接口 装置 


开始 来 进行 防火 墙 规则 的 封包 比 对 设 定 吧 ! 既然 是 因特网 ， 那 么 我 们 区 
由 最 基础 的 


IP, 网 域 及 塌 口 ， 亦 即 是 OSI 的 第 三 层 谈 起 ， 再 来 谈 谈 装置 (网 络 卡 ) 的 


限制 等 等 。 


这 一 小 节 与 下 一 小 节 的 语法 你 一 定 要 记 住 ， 因 为 这 是 最 基础 的 比 对 语法 
喔 ! 





[root@www ~]# iptables [-AI 链 名 ] [-io 网 络 接口 ] [-p 协议 ]\ 

> [-s 来 源 卫 / 网 域 ] [-d 目标 IP/ 网 域 ] -j [ACCEPTIDROPIREJECTILOG] 
选项 与 参数 : 

-AI 链 名 : 针对 某 的 链 进行 规则 的 "插入" 或 "累加 " 

-A ”: 新 增加 一 条 规则 ， 该 规则 增加 在 原本 规则 的 最 后 面 。 例 如 原本 已 


经 





有 四 条 规则 ， 

使 用 -A 就 可 以 加 上 第 五 条 规则 ! 

-[: 插入 一 条 规则 。 如 果 没 有 指定 此 规则 的 顺序 ， 默 认 是 插入 变 成 第 一 
条 规则 。 

例如 原本 有 四 条 规则 ， 使 用 -I 则 该 规则 变 成 第 一 条 ， 而 原本 四 条 

变 成 2~5 号 


链 : 有 INPUT, OUTPUT, FORWARD 等 ， 此 链 名 称 又 与 -io 有 关 ， 请 
看 底 


下 5 

-io 网 络 接口 : 设 定 封 包 进 出 的 接口 规范 

- : 封包 所 进入 的 那个 网 络 接口 ， 例 如 eth0, lo 等 接口 。 需 与 INPUT 链 
配合 ; 

-0 : 封包 所 传 出 的 那个 网 络 接口 ， 需 与 OUTPUT 链 配合 ; 

-p 协定 : 设 定 此 规则 适用 于 哪 种 封包 格式 

主要 的 封包 格式 有 : tcp, udp, icmp 及 all 。 
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-s 来 源 IP/ 网 域 : 设 定 此 规则 之 封包 的 来 源 项 目 ， 可 指定 单纯 的 卫 或 包 
丘 


网 域 ， 例 如 : 

IP : 192.168.0.100 

网 域 : 192.168.0.0/24, 192.168.0.0/255.255.255.0 均 可 。 

各 规范 为 『 不 许 上 时 ， 则 加 上 ! 即 可 ， 例 如 : 

-S! 192.168.100.0/24 表示 不 许 192.168.100.0/24 之 封包 来 源 ; 
-d 目标 IP/ 网 域 : 同 -s ， 只 不 过 这 里 指 的 是 目标 的 了 PP 或 网 域 。 


-jj ”: 后 面 接 动作 ， 主 要 的 动作 有 接受 (ACCEPT)、 丢 弃 (DROP)、 拒 绝 
(REJECT) 


及 记录 (LOG) 


iptables 的 基本 参数 就 如 同上 面 所 示 的 ， 仪 只 谈 到 IP 、 网 域 与 效 置 等 等 


的 信息 ， 至 


于 TCP, UDP 封包 特有 的 埋 口 (port numben 与 状态 (如 SYN 旗 标 ) 则 在 
下 小 节 才 会 


谈 到 。 好 ， 先 让 我 们 来 看 看 最 基础 的 儿 个 规则， 例如 开放 lo 这 个 本 机 
的 接口 以 及 某 


个 IP 来 源 吧 ! 
范例 : 设 定 lo 成 为 受信 任 的 装置 ， 亦 即 进出 lo 的 封包 都 予以 接受 
[root@www ~|]# iptables -A INPUT -ilo -) ACCEPT 


仔细 看 上 面 并 没有 列 出 -s, -d 等 等 的 规则 ， 这 表示 : 不 论 封 包 来 自 何 处 
或 去 到 哪里 ， 


只 要 是 来 目 lo 这 个 界面 ， 就 予以 接受 ! 这 个 观念 挺 重 要 的 ， 就 是 『 没 
有 指定 的 项 目 ， 


则 表示 该 项 目 完全 接受 」 的 意思 ! 例如 这 个 案例 当中 ， 关 于 -s，-d... 等 
等 的 参数 没 


有 规定 时 ， 就 代表 不 论 什么 值 都 会 被 接受 史 。 


这 就 是 所 谓 的 信任 装置 啦 ! 假如 你 的 主机 有 两 张 以 太 网络 卡 ， 其 中 一 张 
是 对 内 部 的 


网 域 ， 假 设 该 网 卡 的 代号 为 ethl 好 了 ， 如 果 内 部 网 域 是 可 信任 的 ， 那 
么 该 网 卡 的 进 


出 封包 就 通通 会 被 接受 ， 那 你 就 能 够 用 : ”Tiptables -A INPUT -i ethl -j 
ACCEPT」 来 


将 该 装置 设 定 为 信任 装置 。 不 过 ， 下 达 这 个 指令 前 要 特 允 注 意 ， 因 为 这 
样 等 于 该 网 卡 没 


有 任何 防备 了 喔 ! 














范例 : 只 要 是 来 自 内 网 的 (192.168.100.0/24) 的 封包 通通 接受 
[root@www ~]# iptables -A INPUT -i eth1 -s 192.168.100.0/24 -j ACCEPT 
# 由 于 是 内 网 就 接受 ， 因 此 也 可 以 称 之 为 『 信 任 网 域 ] 哎 。 

范例 : 只 要 是 来 自 192.168.100.10 就 接受 ， 但 192.168.100.230 这 个 恶意 
来 源 就 丢弃 

[root@www ~]# iptables -A INPUT -i eth1 -s 192.168.100.10 -j ACCEPT 
[root@www ~ 1# iptables -A INPUT -i eth1 -s 192.168.100.230 -] DROP 


# 针对 单一 IP 来源， 可 视 为 信任 主机 或 者 是 不 信任 的 恶意 来 源 喔 ! 





[root@www ~|]# iptables-save 
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# Generated by iptables-save v1.4.7 on Fri Jul 22 16:00:43 2011 
*filter 

:INPUT DROP [0:0] 

:FORWARD ACCEPT [0:0] 

:OUTPUT ACCEPT [17:1724] 

-A INPUT -ilo -j ACCEPT 

-A INPUT -s 192.168.100.0/24 -i eth1 -j ACCEPT 
-A INPUT -s 192.168.100.10/32 -i eth1 -j ACCEPT 


-A INPUT -s 192.168.100.230/32 -i eth1 -j DROP 


COMMIT 
# Completed on Fri Jul 22 16:00:43 2011 


这 就 是 最 单纯 简单 的 防火 墙 规则 的 设 定 与 观察 方式 。 不 过 ， 在 上 面 的 双 
例 中 ， 其 实 你 也 


发 现 到 有 两 条 规则 可 能 有 问题 一 “” 那 就 是 上 面 的 特殊 字体 圈 起 来 的 规则 
顺序 。 明 明 已 经 


放行 了 192.168.100.0/24 了， 所 以 那个 192.168.100.230 的 规则 就 不 可 能 
会 被 用 到 ! 


这 就 是 有 问题 的 防火 增设 定 啊 ! 了 解 乎 ? 那 该 怎 办 ? 就 重 打 啊 ! 
@_@! 那 如 果 你 想 要 记 


录 菏 个 规则 的 纪录 怎么 办 ? 可 以 这 样 做 : 


[root@www ~|]# iptables -A INPUT -s 192.168.2.200 -j LOG 








[root@www ~]# iptables -L -n 
target prot opt source destination 
LOG all -- 192.168.2.200 0.0.0.0/0 LOG flags 0 level 4 


看 到 输出 结果 的 最 左边 ， 会 出 现 的 是 LOG 喔 ! 只 要 有 封包 来 自 
192.168.2.200 这 个 IP 


时 ， 那么 该 封包 的 相关 信息 束 会 被 写 入 到 核心 讯 电 ， 亦 即 是 


/Var/log/messages 这 个 


档案 当中 。 然后 该 封包 会 继续 进行 后 续 的 规则 比 对 。 所 以 说 ， LOG 这 
个 动作 仅 在 进行 


记录 而 已 ， 并 不 会 影响 到 这 个 封包 的 其 他 规则 比 对 的 。 好 了 ， 接 下 来 
我 们 分 别 来 看 看 


TCP,UDP 以 及 ICMP 封包 的 其 他 规则 比 对 吧 ! 


9.3.4-4 TCP, UDP 的 规则 比 对 : 针对 埋 口 设 定 





在 谈 到 TCP 与 UDP 





| 水 
时 ， 比 较 
特殊 的 就 是 那个 坊 口 (port)， 在 TCP 方面 则 另外 有 所 谓 的 联机 封包 状 
态 ， 包括 最 常 


见 的 SYN 主动 联机 的 封包 格式 。 那 么 如 何 针对 这 两 种 封包 格式 进行 防 
火 墙 规则 的 设 定 


呢 ? 你 可 以 这 样 看 : 
[root@www ~]# iptables [-AI 链 ] [-io 网 络 接口 ] [-p tcp,udp] \ 
> [-s 来 源 IP/ 网 域 ] [--sport 塌 口 范围 ]\ 


> [-d 目标 IP/ 网 域 ] [--dport 塌 口 范围 ] -; [ACCEPTIDROPIREJECT] 
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选项 与 参数 : 


--Sport 塌 口 范围 ， 限制 来 源 的 端口 口号 码 ， 端 口 口 号 码 可 以 是 连续 的 ， 
例如 


1024:65535 
--dport 井口 范围 : 限制 目标 的 端口 口号 码 。 


事实 上 就 是 多 了 那个 --sport 及 --dport 这 两 个 玩意 儿 ， 重 点 在 那个 port 
上 面 啦 ! 


不 过 你 得 要 特别 注意 ， 因 为 仅 有 tcp 与 udp 封包 具有 起 口 ， 因 此 你 想 要 
使 用 --dport， 


--Sport 时 ， 得 要 加 上 -ptcp 或 -p udp 的 参数 才 会 成 功 喔 ! 底下 让 我 们 来 
进行 几 个 














小 测试 : 

范例 : 想 要 联机 进入 本 机 port 21 的 封包 都 抵挡 挥 : 

[root@www ~]# iptables -A INPUT -i eth0 -p tcp --dport 21 -DROP 
范例 : 想 连 到 我 这 部 主机 的 网 芳 (upd port 137,138 tcp port 139,445) 就 
放行 


[root@www ~]# iptables -A INPUT -i eth0 -p udp --dport 137:138 -j 
ACCEPT 


[root@www ~|]# iptables -A INPUT -ieth0 -p tcp --dport 139 -] ACCEPT 
[root@www ~]# iptables -A INPUT -ieth0 -p tcp --dport 445 -j) ACCEPT 


瞧 ! 你 可 以 利用 UDP 与 TCP 协议 所 拥有 的 端口 口号 码 来 进行 某 些 服务 
的 开放 或 关闭 喔 ! 


你 还 可 以 综合 处 理 呢 ! 例如 : 只 要 来 自 192.168.1.0/24 的 1024:65535 坦 
口 的 封包 ， 


且 想 要 联机 到 本 机 的 ssh port 就 予以 抵挡 ， 可 以 这 样 做 : 
[root@www ~]# iptables -A INPUT -ieth0 -ptcp -s 192.168.1.0/24 \ 
> --sport 1024:65534 --dport ssh -] DROP 

如 果 态 记 加 上 -ptcp 就 使 用 了 --dport 时 ， 会 发 生 啥 问题 呢 ? 
[root@www ~ 1# iptables -A INPUT -i eth0 --dport 21 -j DROP 
iptables v1.4.7: unknown option  --dport' 

Try iptables -h' or 'iptables --help' for more information. 


你 应 该 会 觉得 很 奇怪 ， 怎 么 『 --dport 」 会 是 未 知 的 参数 (arg) 呢 ? 这 是 
因为 你 没有 


加 上 -ptcp 或 -p udp 的 缘故 啊 ! 很 重要 喔 ! 


除了 塌 口 之 外 ,在 TCP 还 有 特殊 的 旗 标 啊 ! 最 常见 的 就 是 那个 主动 联 
机 的 SYN 旗 


标 了 。 我 们 在 iptables 里 面 还 文 持 『 --syn 」 的 处 理 方式 ， 我 们 以 底下 
的 例子 来 说 


明 好 了 : 
联机 于 


弃 
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必 

[root@www ~]#iptables -A INPUT -i eth0 -p tcp --Sport 1:1023\ 
> --dport 1:1023 --Syn -] DROP 


一 般 来 说 ，client 问 启 用 的 port 都 是 大 于 1024 以 上 的 塌 口 ， 而 server 端 
则 是 局 


用 小 于 1023 以 下 的 塌 口 在 监听 的 。 所 以 我 们 可 以 让 来 自 远程 的 小 于 
1023 以 下 的 端口 


口 数据 的 主动 联机 都 给 他 丢弃 ! 但 不 适用 在 FTP 的 主动 联机 中 ! 这 部 
份 我 们 未 来 在 二 


十 一 章 的 FTP 服务 器 再 来 谈 吧 ! 
9.3.4-5 iptables 外 挂 模块 : mac 与 state 


在 kernel 2.2 以 前 使 用 ipchains 管理 防火 墙 时 ， 通 常会 让 系统 管理 员 相 
当头 痛 ! 


因为 ipchains 没有 所 谓 的 封包 状态 模块 ， 因 此 我 们 必须 要 针对 封包 的 
进 、 出 方向 进行 


管控 。 举 例 来 说 ， 如 果 你 想 要 联机 到 远程 主机 的 port 22 时 ， 你 必须 要 
针对 两 条 规则 


来 设 定 : 
本 机 端的 1024:65535 到 远程 的 port 22 必须 要 放行 (OUTPUT 链 ); 
远程 主机 port 22 到 本 机 的 1024:65535 必须 放行 INPUT 链 ); 


这 会 很 麻烦 ! 因为 如 果 你 要 联机 到 10 部 主机 的 port 22 时 ， 假 设 
OUTPUT 为 预 


设 开 启 (ACCEPT)， 你 依旧 需要 填写 十 行规 则 ， 让 那 十 部 远程 主机 的 
port 22 可 以 联 


机 到 你 的 本 地 端 主 机 上 。 那 如 果 开 局 全 部 的 port 22 呢 ? 又 担心 茶 些 亚 
意 主机 会 主动 
以 port 22 联机 到 你 的 机 器 上 ! 同样 的 道理 ， 如 果 你 要 让 本 地 端 主 机 可 
以 连 到 外 部 的 


port 80 (WWW 服务 )， 那 融 更 不 得 了 一 这 就 是 网 络 联机 是 双 同 的 一 个 很 
重要 的 概念 ! 


好 在 我 们 的 iptables 免除 了 这 个 困扰 ! 他 可 以 透 过 一 个 状态 模块 来 分 析 
| 这 人 








想 要 进入 的 封包 是 否 为 刚刚 我 发 出 去 的 啊 应 ? 」 ”如 果 是 刚刚 我 及 出 去 
的 啊 应 ， 那 么 就 


可 以 予以 接受 放行 ! 哇 ! 真 棒 ! 这 样 就 不 用 管 远程 主机 是 否 联 机 进来 的 
问题 了 ! 那 如 


何 达到 呢 ? 看 看 底下 的 语法 : 


[root@www ~]#iptables -A INPUT [-m state] [--state 状态 ] 


选项 与 参数 : 

-m : 一 些 iptables 的 外 挂 模块 ， 主 要 常见 的 有 : 

state : 状态 模块 

mac : 网 络 卡 硬件 地 址 (hardware address) 

--state : 一 些 封包 的 状态 ， 主 要 有 : 

INVALID : 无 效 的 封包 ， 例 如 数据 破损 的 封包 状态 
ESTABLISHED: 已 经 联机 成 功 的 联机 状态 ; 

NEW : 想 要 新 建立 联机 的 封包 状态 ; 

RELATED : 这 个 最 常用 ! 表示 这 个 封包 是 与 我 们 主机 发 送出 去 的 封包 
有 关 
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范例 : 只 要 已 建立 或 相关 封包 就 子 以 通过 ， 只 要 是 不 合法 封包 惑 丢弃 
[root@www ~]#iptables -A INPUT -m state \ 

> --state RELATED,ESTABLISHED -)j ACCEPT 

[root@www ~ 1# iptables -A INPUT -m state --state INVALID -)j DROP 


如 此 一 来 ， 我 们 的 iptables 就 会 主动 分 析出 该 封包 是 否 为 响应 状态 ， 若 
是 的 话 ， 就 直 


接 予以 接受 。 呵 呵 ! ”这 样 一 来 你 就 不 需要 针对 响应 的 封包 来 撰写 个 别 
的 防火 墙 规则 了 ! 


这 真是 太 棒 了 ! 底下 我 们 继续 谈 一 下 iptables 的 另 一 个 外 挂 ， 那 就 是 针 
对 网 卡 来 进 


行 放 行 与 防御 : 

范例 : 针对 局 域 网 络 内 的 aa:bb:cc:dd:ee:ff 主机 开放 其 联机 
[root@www ~]# iptables -A INPUT -m mac --mac-source aa:bb:cc:dd:ee:ff 
\ 

> -] ACCEPT 

选项 与 参数 : 

--mac-source : 就 是 来 源 主机 的 MAC 啦 ! 


如 果 你 的 区 网 当中 有 茶 些 网 络 高 手 ， 老 是 可 以 透 过 修改 IP 去 尝试 透 过 
路 由 器 往外 跑 ， 


那 你 该 怎么 办 ? ”难道 将 整个 区 网 拒绝 ? 并 不 需要 的 ， 你 可 以 透 过 之 前 
谈 到 的 ARP 相关 


概念 ， 去 捉 到 那 部 主机 的 MAC ， 然 后 透 过 上 头 的 这 个 机 制 ， 将 该 主机 
整个 DROP 掉 即 


可 。 不 管 他 改 了 什么 IP ， 除 非 他 知道 你 是 用 网 卡 的 MAC 来 管理 ， 人 否则 
他 就 是 出 不 去 


啦 ! 了 解 乎 ? 

Tips: 

其 实 MAC 也 是 可 以 伪装 的 ， 可 以 透 过 某 些 软件 来 修改 网 卡 的 MAC。 
不 过 ， 这 里 我 们 是 假设 MAC 是 无 法 修改 的 情况 来 说 明 的 。 此 外 ， 


MAC 是 不 能 跨 路 由 的 ， 因 此 上 述 的 案例 中 才 特 别 说 明 是 在 区 网 内 ， 

而 不 是 指 Internet 外 部 的 来 源 嘻 ! 

9.3.4-6 ICMP 封包 规则 的 比 对 : 针对 是 人 否 啊 应 ping 来 设计 

I 道 ICMP 的 类 型 相当 的 多 ， 而 且 很 多 





AAA 一 二 


Ee 
ICMP 封包 的 


类 型 都 是 为 了 要 用 来 进行 网 络 检测 用 的 ! 所 以 最 好 不 要 将 所 有 的 ICMP 
封包 都 丢弃 ! 如 


果 不 是 做 为 路 由 器 的 主机 时 ， 通 和 常 我 们 会 把 ICMP type 8 (echo request) 
拿 掉 而 已 ， 


让 远程 主机 不 知道 我 们 是 否 存在 ， 也 不 会 接受 ”ping 的 响应 就 是 了 。 
ICMP 封包 格式 的 


处 理 是 这 样 的 : 





[root@www ~]# iptables -A _ INPUT [-p icmp] [--icmp-type 类 型 ] -j 
ACCEPT 


选项 与 参数 : 
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--icmp-type : 后 面 必 须要 接 ICMP 的 封包 类 型 ， 也 可 以 使 用 代号 ， 
例如 8 代表 echo request 的 意思 。 

范例 : 让 0,3,4,11,12,14,16,18 的 ICMP type 可 以 进入 本 机 : 
[root@www ~]# vi somefile 


#!/bin/bash 


icmp_type="0 341112141618" 

for typeicmp in $icmp_type 

do 

iptables -A INPUT -i eth0 -p icmp --icmp-type $typeicmp -j ACCEPT 
done 


[root@www ~]# sh somefile 


这 样 就 能 够 开放 部 分 的 ICMP 封包 格式 进入 本 机 进行 网 络 检测 的 工作 
了 ! 不 过 ， 如 果 你 


的 主机 是 作为 区 网 的 路 由 器 ， 那么 建议 icmp 封包 还 是 要 通通 放行 才 
好 ! 这 是 因为 客 


户 端 检测 网 络 时 ， 常 常会 使 用 ping 来 测试 到 路 由 器 的 线路 是 否 畅通 之 
故 哟 ! 所 以 不 


要 将 路 由 器 的 icmp 关 掉 ， 会 有 状况 啦 ! 
9.3.4-7 超 阳春 客户 端 防火 增设 计 与 防火 墙 规则 储存 


经 过 上 述 的 本 机 iptables 语法 分 析 后 ， 接 下 来 我 们 来 想 想 ， 如 果 站 在 客 
户 端 且 不 


提供 网 络 服务 的 Linux 本 机 角色 时 ， 你 应 该 要 如 何 设 计 你 的 防火 墙 呢 ? 
老实 说 ， 你 只 


要 分 析 过 CentOS 默认 的 防火 墙 规则 残 会 知道 了 ， 理 论 上 ， 应 该 要 有 的 
规则 如 下 : 


1. 规则 归 零 : 清除 所 有 已 经 存在 的 规则 (iptables -F...) 


2. 预 设 政策 : 除了 INPUT 这 个 自 定义 链 设 为 DROP 外 ， 其 他 为 预 设 
ACCEPT:; 





0 由 于 lo 对 本 机 来 说 是 相当 重要 的 ， 因 此 lo 必须 设 定 为 信 


置 ; 
4. 回应 封包 : 让 本 机 主动 问 外 要 求 而 响应 的 封包 可 以 进入 本 机 
(ESTABLISHED,RELATED) 


5. 信任 用 户 : 这 是 非 必要 的 ， 如 果 你 想 要 让 区 网 的 来 源 可 用 你 的 主机 资 
源 时 


这 就 是 最 最 阳春 的 防火 场 ， 你 可 以 透 过 第 二 步 又 抵挡 所 有 远程 的 来 源 封 


第 四 步骤 让 你 要 求 的 远程 主机 啊 应 封包 可 以 进入 ， 加 上 让 本 机 的 lo 这 
个 内 部 循环 装 


置 可 以 放行 ， 嘿 嘿 ! 一 部 client 专用 的 防火 墙 规 则 融 OK 了 ! 你 可 以 在 
某 个 script 上 


面 这 样 做 即 可 : 





[root@www ~]# vim bin/firewall.sh 
#!/bin/bash 
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PATH=/sbin:/bin:/usr/sbin:/usr/bin; export PATH 
#1. 清除 规则 


iptables -F 


iptables -X 

iptables -Z 

#2. 设 定 政策 

iptables -P INPUT DROP 

iptables -P OUTPUT ACCEPT 
iptables -P FORWARD ACCEPT 
#3~5. 制订 各 项 规则 

iptables -A INPUT -i lo -j ACCEPT 


iptables -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j 
ACCEPT 


#iptables -A INPUT -ieth0 -s 192.168.1.0/24 -j ACCEPT 
#6. 写 入 防火 墙 规则 配置 文件 

/etc/init.d/iptables save 

[root@www ~]# sh bin/firewall.sh 


iptables: Saving firewall rules to /etc/sysconfig/iptables:[ OK ] 


其 实 防火 墙 也 是 一 个 服务 ， 你 可 以 透 过 『chkconfig --list iptables」 去 察 
看 就 知道 

因此 ， 你 这 次 修改 的 各 种 设 定 想 要 在 下 次 开机 还 保存 ， 那 就 得 要 
进行 


『 /etc/init.d/iptables save 」 这 个 指令 加 参数 。 因此 ， 乌 哥 现在 都 是 将 储 
存 的 动 


作 写 入 这 个 firewall.sh 脚本 中 ， 比 较 单 纯 些 史 ! 现在 ， 你 的 Linux 主机 
已 经 有 相当 


的 保护 了 ， ”只 是 如 果 想 要 作为 服务 器 ， 或 者 是 作为 路 由 器 ， 那 就 得 要 
自行 加 上 某 些 自 


定义 的 规则 哆 。 








Tips: 
老实 说 ， 如 果 你 对 Linux 够 熟悉 的 话 ， 直 接 去 修改 
/etc/sysconfig/iptables 然后 将 iptables 这 个 服务 restart， 

那 你 的 防火 墙 规则 就 是 会 在 开机 后 持续 存在 鄂 ! 不 过 ， 乌 哥 个 人 还 
是 喜欢 写 scripts 就 是 了 。 

制订 好 规则 后 当然 就 是 要 测试 嘿 ! 那么 如 何 测试 呢 ? 

1. 先 由 主机 向 外 面 主动 联机 试看 看 ; 

2. 再 由 私有 网 域内 的 PC 向 外 面 主动 联机 试看 看 ; 

3. 最 后 ， 由 Internet 上 面 的 主机 ， 主 动 联机 到 你 的 Linux 主机 试看 看 ; 
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必 


一 步 一 步 作 下 来 ， 看 看 问题 出 在 哪里 ， 然 后 多 多 的 去 改进 、 改 展 ! 基本 
上 ， 网 络 上 


目前 很 多 的 资料 可 以 提供 你 不 错 的 参考 了 ! ”这 一 篇 的 设 定 写 的 是 很 简 
单 ， 大 部 分 都 还 


在 介绍 阶段 而 已 ! 希望 对 大 家 有 帮助 ! 
几 个 有 用 的 防 











火 墙 网 页 ， 希 望 大 家 有 空 真 的 要 多 多 的 去 看 看 ! 会 很 有 帮助 的 ! 


9.3.5 IPv4 的 核心 管理 功能 : /proc/sys/net/ipv4/* 








除了 iptables 这 个 防火 墙 软件 之 外 ， 其 实 咱 们 Linux kernel 2.6 提供 很 多 
核心 


预 设 的 攻击 抵挡 机 制 呢 ! ”由 于 是 核心 的 网 络 功能 ， 所 以 相关 的 设 定数 
据 都 是 放置 在 


/proc/sys/net/ipv4/ 这 个 目录 当中 。 至 于 该 目录 下 各 个 档案 的 详细 资料 ， 
可 以 参考 


核心 的 说 明文 件 (你 得 要 先 安装 kernel-doc 软件 ): 





/usr/share/doc/kernel-doc-2.6.32/Documentation/networking/ip-sysctl.t 


xt 


乌 哥 这 里 也 放 一 份 备份 : 


http:/linux.vbird.org/linux server/0250simple firewall/ip-sysctl].txt 


有 兴趣 的 话 应 该 要 自行 去 查 一 查 比 较 好 的 喔 ! 我 们 底下 就 合 几 个 简单 的 
档案 来 作 说 


明 吧 ! 








/proc/sys/net/ipv4/tcp_syncookies 


DoS) 攻击 法 当中 的 一 种 方式 ， 就 






TCP 封包 的 SYN 三 向 交 握 原理 所 达成 的 ， 这 种 方式 称 为 SYN Flooding 
。 那 如 


何 预防 这 种 方式 的 攻击 呢 ? 我 们 可 以 局 用 核心 的 SYN Cookie 模块 啊 ! 
这 个 


SYN Cookie 模块 可 以 在 系统 用 来 启动 随机 联机 的 埋 口 (1024:65535) 即 


将 用 完 
时 目 动 局 动 。 


当局 动 SYN Cookie 时 ， 主 机 在 发 送 SYN/ACK 确认 封包 前 ， 会 要 求 
Client 端 


在 短 时 间 内 回复 一 个 序号 ， 这 个 序号 包含 许多 原本 SYN 封包 内 的 信 
妃 ， 包 括 IP、 


port 等 。 知 Client 端 可 以 回复 正确 的 序号 ， 那 么 主机 就 确定 该 封包 为 可 
信 的 ， 


因此 会 发 送 SYN/ACK 封包 ， 否 则 就 不 理会 此 一 封包 。 


透 过 此 一 机 制 可 以 大 大 的 降低 无 效 的 SYN 等待 捍 口 ， 而 避免 SYN 
Flooding 的 


DoS 攻击 说 ! 那么 如 何 局 动 这 个 模块 呢 ? 很 简单 ， 这 样 做 即 可 : 
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[root@www ~]# echo "1" > /proc/sys/net/ipv4/tcp_syncookies 


但 是 这 个 设 定 值 由 于 违反 TCP 的 三 向 交 握 (因为 主机 在 发 送 SYN/ACK 
之 前 需 

要 先 等 待 client 的 序号 响应 )， 所 以 可 能 会 造成 某 些 服务 的 延迟 现象 ， 
例如 


SMTP (mail server)。 不 过 总 的 来 说 ， 这 个 设 定 值 还 是 不 错 用 的 ! 只 是 
不 适合 





用 在 负载 已 经 很 高 的 服务 器 内 喔 ! ”因为 负载 太 高 的 主机 有 时 会 让 核心 
误 判 遭受 





SYN Flooding 的 攻击 呢 。 
如 果 是 为 了 系统 的 TCP 封包 联机 优化 ， 则 可 以 参考 


tcp_max_syn_backlog, 


tcp_synack_retries, tcp_abort_on_overflow 这 几 个 设 定 值 的 意义 。 


/proc/sys/net/ipvA4/icmp_echo_ignore_broadcasts 

阻 断 式 服务 常见 的 是 SYN Flooding ， 不 过 ， 我 们 知道 系统 其 实 可 以 接 
受 使 用 

ping 的 啊 应 ， 而 _ping 的 封包 数据 量 是 可 以 给 很 大 的 ! 想象 一 个 状况 ， 
如 果 

有 个 搞 破 坏 的 人 使 用 1000 台 主 机 传送 ping 给 你 的 主机 ， 而 且 每 个 ping 


局 


达 数 百 K bytes 时 ， 你 的 网 络 带 宽 会 怎样 ? 要 嘛 就 是 冲 宽 被 吃 兴 ， 要 嘛 
可 能 系 


统 会 当 机 ! 这 种 方式 分 别 被 称 为 ping flooding (不 断 发 ping) 及 ping of 
death (发 送 大 的 ping 封包 )。 


那 如 何 避 免 呢 ? 取消 ICMP 类 型 8 的 ICMP 封包 回应 就 是 了 。 我 们 可 以 
火 墙 来 抵挡 ， 这 也 是 比较 建议 的 方式 。 当 然 也 可 以 让 核心 自动 取消 
ping 的 啊 


应 。 不 过 你 必须 要 了 解 ， 某 些 局 域 网 络 内 常见 的 服务 (例如 动态 卫 分 
配 DHCP 





ping 的 方式 来 侦 测 是 否 有 重复 的 IP ， 所 以 你 最 好 不 要 取 
消 


的 ping 啊 应 比较 好 。 

核心 取消 ping 回应 的 设 定 值 有 两 个 ， 分 别 是 : /proc/sys/net/ipv4 内 的 
icmp_echo_ignore_broadcasts ( 仅 有 ping broadcast 地 址 时 才 取 消 ping 的 
回应 ) 及 icmp_echo_ignore_all (全 部 的 ping 都 不 回应 )。 乌 哥 建 议 设 定 
icmp_echo_ignore_broadcasts 就 好 了 。 你 可 以 这 么 做 : 

[root@www ~]# echo "1" >\ 


> /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts 


/proc/sys/net/ipv4/conf/ 网 络 接口 /* 


0 0 以 针对 不 同 的 网 络 接口 进行 不 一 样 的 参数 设 定 喔 ! 网 络 
交口 的 相 


关 设 定 放置 在 /proc/sys/net/ipv4/conf/ 当中 ， 每 个 接口 都 以 接口 代号 做 为 
其 
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代表 ， 例 如 eth0 接口 的 相关 设 定数 据 在 “/proc/sysmetUipv4/confyethO/ 
内 。 








那么 网 络 接口 的 设 定数 据 有 哪些 比较 需要 注意 的 呢 ? 大 概 有 底下 这 几 
| 


orp_filter: 称 为 逆 癌 路 径 过 滤 (Reverse Path Filtering)， 可 以 
厌 由 分 析 网 络 接口 的 路 由 信息 配合 封包 的 来 源 地 址 ， 来 分 析 该 封包 是 个 
为 


合理 。 举 例 来 说 ， 你 有 两 张 网 卡 ，eth0 为 192.168.1.10/24 ，eth1 为 
public IP 。 那 么 当 有 一 个 封包 自称 来 自 ethl1 ， 但 是 其 IP 来 源 为 
192.168.1.200 ， 那 这 个 封包 就 不 合理 ， 应 予以 丢弃 。 这 个 设 定 值 建议 
可 以 启动 的 。 

01og_martians: 这 个 设 定数 据 可 以 用 来 启动 记录 不 合法 的 他 来源 ， 
举例 来 说 ， 包 括 来 源 为 0.0.0.0、127.x.x.x、 及 ClassE 的 I 了 PP 来源 ， 
因为 这 些 来 源 的 IP 不 应 该 应 用 于 Internet 啊 。 记录 的 数据 默认 放置 
到 核心 放置 的 登录 档 /var/log/messages。 

0 accept_source_route: 或 许 某 些 路 由 器 会 启动 这 个 设 定 值 ， 不 过 目 
前 的 设备 很 少 使 用 到 这 种 来 源 路 由 ， 你 可 以 取消 这 个 设 定 值 。 

0 accept_redirects: 当 你 在 同一 个 实体 网 域内 架设 一 部 路 由 器 ， 但 
这 个 实体 网 域 有 两 个 卫 网 域 ， 例 如 192.168.0.0/24, 192.168.1.0/24。 
此 时 你 的 192.168.0.100 想 要 向 192.168.1.100 传送 讯息 时 ， 路 由 器 可 
能 会 传送 一 个 ICMP redirect 封包 告知 192.168.0.100 直接 传送 数据 

给 192.168.1.100 即 可 ， 而 不 需 透 过 路 由 器 。 因 为 192.168.0.100 与 
192.168.1.100 确实 是 在 同一 个 实体 线路 上 (两 者 可 以 直接 互通 )， 所 以 


人 IP 使 用 最 短路 径 去 传递 数据 。 但 那 两 部 主机 在 不 同 


IP 段 ， 却 是 无 法 实际 传递 讯 县 的 ! 这 个 设 定 也 可 能 会 产生 一 些 轻微 的 安 
全 风险 ， 所 以 建议 关闭 他 。 


o send_redirects: 与 上 一 个 类 似 ， 只 是 此 值 为 发 送 一 个 ICMP 











redirect 封包 。 同样 建议 关闭 。( 事 实 上 ， 乌 哥 就 曾经 为 了 这 个 ICMP 
redirect 的 问题 伤 脑筋 ! 其 实 关 闭 redirect 的 这 两 个 项 目 即 可 啊 ! ) 
虽然 你 可 以 使 用 『 echo "1" > /proc/sys/net/ipv4/conf/???/rp_filter 」 之 

类 的 方法 来 启动 这 个 项 目 ， 不 过 ， ” 鸟 哥 比较 建议 修改 系统 设 定 值 ， 那 


束 是 


/etc/sysctl.conf 这 个 档案 ! 假设 我 们 仪 有 eth0 这 个 以 太 接 口 ， 而 且 上 述 
的 


功能 要 通通 局 动 ， 那 你 可 以 这 样 做 : 





[root@www ~]# vim /etc/sysctl.conf 

# Adding by VBird 2011/01/28 
net.ipv4.tcp_syncookies = 1 
net.ipv4.icmp_echo_ignore_broadcasts = 1 
net.ipv4.conf.all.rp_filter = 1 
net.ipv4.conf.default.rp_filter = 1 
net.ipv4.conf.ethO.rp_filter = 1 
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0 


0 










eth0 
(or ppp0) 


Public 轧 加 
domain ol 


| ethl 
192.168.100.0/24 







| Private 
domain 










Linux 
Firewall/Router 


net.ipv4.conf.lo.rp_filter = 1 
…( 以 下 省 略 ).… 
[root@www ~]# sysctl -p 
9.4 单机 防火 墙 的 一 个 实例 


介绍 了 这 么 多 的 防火 墙 语法 与 相关 的 注意 事项 后 ， 终 于 要 来 架设 防火 墙 
了 。 马 哥 还 

脚本 来 撰写 防火 墙 ， 然后 透 过 最 终 的 /etc/init.d/iptables 
Save > 


将 结果 储存 到 /etc/sysconfig/iptables 去 ! 而 且 此 一 特色 还 可 以 用 在 呼叫 
其 他 的 


一 


scripts ， 可 以 让 防火 墙 规则 具有 较为 灵活 的 使 用 方式 。 好 了 ， 那 就 来 谈 
谈 如 何 设 定 


咱们 的 防火 墙 规 则 吧 ! 
9.4.1 规则 草拟 


乌 哥 砌 下 介绍 的 这 个 防火 场 ， 其 实 可 以 用 来 作为 路 由 器 上 的 防火 墙 ， 也 
可 以 用 来 作 





为 本 机 的 防火 墙 。 假设 硬件 联机 如 同 下 图 所 示 ， Linux 主机 本 身 也 是 内 
部 LAN 的 路 


由 串 ! 亦 即 是 一 个 简单 的 IP 分 至 器 日 
设 乌 哥 网 络 


接口 有 底下 这 些 ; 
外 部 网 络 使 用 eth0 (如 果 是 拨 接 ， 有 可 能 是 ppp0， 请 针对 你 的 环境 来 


设 定 ); 
内 部 网 络 使 用 ethl1 ， 且 内 部 使 用 192.168.100.0/24 这 个 Class ; 
主机 默认 开放 的 服务 有 WWW, SSH, https 等 等 ; 

图 9.4-1、 一 个 局 域 网络 的 路 由 器 架构 示意 图 
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先 慨 定时 多 融 境 参数 ， 
包括 秽 路 介面 、LAN 等 


核心 钢 路 功能 的 设 定 
/procisysinetiipv dt 





定 闵 基 础 开设 政策 
与 天 放 lo 介面 的 登入 
及 与 本 机 相关 的 封包 可 进入 


下 全 合 







其 他 抵 撕 模 灵 
Ex> 砍 站 谨 体 iptables.http 


下 通 近 本 机 检 瞪 的 直接 去 误 


由 于 和 希望 将 信任 网 域 LAN) 与 不 信任 网 域 (Interneb 整个 分 开 的 完整 一 
所 


A 


以 希望 你 可 以 在 Linux 上 面 安装 两 块 以 上 的 实体 网 卡 ， 将 两 块 网 卡 接 在 
不 同 的 网 域 ， 


这 样 可 以 避免 很 多 问题 。 至 于 最 重要 的 防火 墙 政策 是 :，『 关 闭 所 有 的 
联机 ， 仪 开放 特 


定 的 服务 1] 模式。 而 且 假 设 内 部 使 用 者 已 经 受过 民 好 的 训练 ， 因 此 在 





filter table 的 
三 条 链 个 预 设 政策 是 : 
INPUT 为 DROP 
OUTPUT 及 FORWARD 为 ACCEPT 
鸟 哥 底下 预计 提供 的 防火 墙 流 程 是 这 样 的 : 
图 9.4-2、 本 机 的 防火 墙 规则 流程 示意 图 
原则 上 ， 内 部 LAN 主机 与 主机 本 吴 的 开放 上 度 很 高 ， 因 为 ”Output 与 


Forward 是 完 


全 开放 不 理 的 ! 对 于 小 家 许 的 主机 是 可 以 接受 的 ， 因 为 我 们 内 部 的 计算 
机 数量 不 多 ， 而 
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0 


且 人 员 都 是 熟悉 的 ，“ 所 以 不 需要 特别 加 以 控 管 ! 但 是 : [在 大 企业 的 
内 部 ， 这 样 的 规 


et 因为 你 不 能 保证 内 部 所 有 的 人 都 可 以 按照 你 的 规定 


Network ! 」 也 束 是 说 『 家 贼 难 防 」 呀 ! 因此， 那样 的 环境 连 Output 
与 Forward 都 


需要 特别 加 以 管理 才 行 ! 





9.4.2 实际 设 定 


事实 上 ， 我 们 在 设 定 防 火 墙 的 时 候 ， 不 太 可 能 会 一 个 一 个 指令 的 输入 ， 
通常 是 利用 


shell scripts 来 帮 我 们 达成 这 样 的 功能 响 ! 底下 是 利用 上 面 的 流程 图 所 规 


划 出 来 的 防 


火 墙 脚本 ， 你 可 以 参考 看 看 ， ”但 是 你 需要 将 环境 修改 成 适合 你 自己 的 
环境 才 行 喔 ! 此 


外 ， 为 了 未 来 修改 维护 的 方便 ， 马 哥 将 整个 script 拆 成 三 部 分 ， 分 
是 : 


地 


iptables.rule: 设 定 最 基本 的 规则 ， 包 括 清除 防火 墙 规则 、 加 载 模 块 、 
设 


定 服务 可 接受 等 ; 
iptables.deny: 设 定 抵挡 某 些 恶意 主机 的 进入 ; 
iptables.allow: 设 定 允许 某 些 自 定义 的 后 门 来 源 主机 ! 


马 哥 个 人 习惯 是 将 这 个 脚本 放置 到 /usr/local/virus/iptables 目录 下 ， 你 也 
可 


以 自行 放置 到 自己 习惯 的 位 置 去 。“ 那 底下 就 来 瞧 瞧 这 文 脚本 是 怎么 写 
的 吧 ! 








[root@www ~]# mkdir -p /usr/local/virus/iptables 
[root@www ~]# cd /usr/local/virus/iptables 

[root@www iptables]# vim iptables.rule 

#!/bin/bash 

# 请 先 输入 您 的 相关 参数 ， 不 要 输入 错误 了 ! 
EXTIF="eth0"# 这 个 是 可 以 连 上 Public IP 的 网 络 接口 
INIF="eth1" # 内 部 LAN 的 连接 接口 ; 


车 无 则 写成 INIF=" 


INNET="192.168.100.0/24" # 有 有 无 内 部 网 域 接口 ， 请 填写 成 INNET="" 
export EXTIF INIF INNET 
# 第 一 部 份 ， 针 对 本 机 的 防火 墙 设 定 ! 

#### 术 #### 间 ## 村 并 村 六 样 间 样 检 间 检 # 检 闪 ## 夫 ## 检 并 检 夫 ## 检 闪闪 样 闪 并 村 并 检 坟 
#1. 先 设 定好 核心 的 网 络 功 能 : 
echo "1" > /proc/sys/net/ipv4/tcp_syncookies 
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts 
for i in /proc/sys/net/ipv4/conf/*/{rp_filter,log_martians}; do 
echo "1" > $i 
done 
for i in 
/proc/sys/net/ipv4/conf/*/{accept_source_route,accept_redirects,\ 
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send_redirects}; do 
echo "0" > $i 
done 
# 2. 清除 规则 、 设 定 默 认 政 策 及 开放 lo 与 相关 的 设 定 值 
PATH=/sbin:/usr/sbin:/bin:/usr/bin:/usr/local/sbin:/usr/local/bin: 
export PATH 


iptables -F 


iptables -X 

iptables -Z 

iptables -P INPUT DROP 

iptables -P OUTPUT ACCEPT 

iptables -P FORWARD ACCEPT 

iptables -A INPUT -ilo -j ACCEPT 

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
# 3. 启动 额外 的 防火 寺 script 模块 

if [ -f /usr/local/virus/iptables/iptables.deny ]; then 
sh /usr/local/virus/iptables/iptables.deny 

fi 

if [ -f /usr/local/virus/iptables/iptables.allow ]; then 
sh /usr/local/virus/iptables/iptables.allow 

fi 

if [ -f /usr/local/virus/httpd-err/iptables.http ]; then 
sh /usr/local/virus/httpd-err/iptables.http 

fi 

# 4. 允许 茶 些 类 型 的 ICMP 封包 进入 
AICMP="0 3 3/441112141618" 


for tyicmp in $AICMP 


do 

iptables -A INPUT -i $EXTIF -p icmp --icmp-type $tyicmp -] ACCEPT 
done 

#5. 允许 某 些 服务 的 进入 ， 请 依照 你 自己 的 环境 开启 

# iptables -A INPUT -p TCP -i $EXTIF --dport 21 --sport 1024:65534 -j 
ACCEPT # FTP 

# iptables -A INPUT -p TCP -i $EXTIF --dport 22 --sport 1024:65534 -j 
ACCEPT # SSH 

# iptables -A INPUT -p TCP -i $EXTIF --dport 25 --sport 1024:65534 -j 
ACCEPT # SMTP 

# iptables -A INPUT -p UDP -i $SEXTIF --dport 53 --sport 1024:65534 -j 
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ACCEPT # DNS 

# iptables -A INPUT -p TCP -i $EXTIF --dport 53 --sport 1024:65534 -j 
ACCEPT # DNS 

# iptables -A INPUT -p TCP -i $EXTIF --dport 80 --sport 1024:65534 -j 
ACCEPT # WWW 

# iptables -A INPUT -p TCP -i $EXTIF --dport 110 --sport 1024:65534 -j 
ACCEPT # POP3 


# iptables -A INPUT -p TCP -i $EXTIF --dport 443 --sport 1024:65534 -j 


ACCEPT # HTTPS 

# 第 二 部 份 ， 

针对 后 端 主机 的 防火 墙 设 定 ! #################################### 柑 和 # 和 ### 提 
#1. 先 加 载 一 些 有 用 的 模块 

modules="ip_tables iptable_nat ip_nat_ftp ip_nat_irc ip_conntrack 
ip_conntrack_ftp ip_conntrack_irc" 

for mod in $modules 

do 


testmod= lsmod | grep "^${mod} " | awk '{print $1}'f [ "$testmod" == "" ]; 
then 


modprobe $mod 

fi 

done 

# 2. 清除 NAT table 的 规则 吧 ! 

iptables -F -t nat 

iptables -X -t nat 

iptables -Z -t nat 

iptables -t nat -P PREROUTING ACCEPT 
iptables -t nat -P POSTROUTING ACCEPT 
iptables -t nat -P OUTPUT ACCEPT 


#3. 若 有 内 部 接口 的 存在 ( 双 网 卡 ) 开放 成 为 路 由 器 ， 且 为 卫 分 享 右 ! 





if [ "$INIF" != "" ]; then 

iptables -A INPUT -i $INIF -j ACCEPT 

echo "1" > /proc/sys/net/ipv4/ip_forward 

if [ "$INNET" {= "" ]; then 

for innet in $INNET 

do 

iptables -tnat -A POSTROUTING -s $innet -o $EXTIF -j 

MASQUERADE 

done 

fi 

fi 
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# 如 果 你 的 MSN 一 直 无 法 联机 ， 或 者 是 茶 些 网 站 OK 东 坚 网 站 不 OK， 
# 可 能 是 MTU 的 问题 ， 

那 你 可 以 将 底下 这 一 行 给 他 取消 批注 来 启动 MTU 限 

制 范 

# iptables -A FORWARD -ptcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss 
\ 

# --mss 1400:1536 -) TCPMSS --clamp-mss-to-pmtu 


#4. NAT 服务 器 后 端的 LAN 内 对 外 之 服务 器 设 定 


# iptables -t nat -A PREROUTING -ptcp -i $EXTIF --dport 80 \ 
#-]j DNAT --to-destination 192.168.1.210:80 # WWW 


a 


1.2.3.4 

# iptables -t nat -A PREROUTING -ptcp -s 1.2.3.4 --dport 6000 \ 
#-]j DNAT --to-destination 192.168.100.10 

# iptables -t nat -A PREROUTING -ptcp -s 1.2.3.4 --sport 3389 \ 
#-j DNAT --to-destination 192.168.100.20 

# 6. 最 终 将 这 些 功 能 储存 下 来 吧 ! 

/etc/init.d/iptables save 


特别 留意 上 面 程序 代码 的 特殊 字体 部 分 ， 基 本 上 ， 你 只 要 修改 一 下 最 上 
方 的 接口 部 分 ， 


应 该 就 能 够 运作 这 个 防火 墙 了 。 不 过 因为 每 个 人 的 环境 都 不 相同 ， 因 
此 你 在 设 定 完成 


后 ， 依 旧 需 要 测试 一 下 才 行 咀 ! 不 然 ， 出 了 问题 不 要 怪我 啊 ! .... 再 来 
看 一 下 关于 


iptables.allow 的 内 容 是 如 何 ? 假如 我 要 让 一 个 140.116.44.0/24 这 个 网 域 
的 所 有 


主机 来 源 可 以 进入 我 的 主机 的 话 ， 那 么 这 个 档案 的 内 容 可 以 写成 这 样 : 














[root@www iptables]# vim iptables.allow 


#!/bin/bash 


# 底下 则 填写 你 允许 进入 本 机 的 其 他 网 域 或 主机 啊 ! 
iptables -A INPUT -i $EXTIF -s 140.116.44.0/24 -j ACCEPT 


# 底下 则 是 关于 抵挡 的 档案 设 定 法 ! 





[root@www iptables]# vim iptables.deny 
#!/bin/bash 
# 底下 填写 的 是 『 你 要 抵挡 的 那个 咯 忠 ! ] 


iptables -A INPUT -i $EXTIF -s 140.116.44.254 -j DROP 





[root@www iptables]# chmod 700 iptables.* 


将 这 三 个 档案 的 权限 设 定 为 700 且 只 属于 root 的 权限 后 ， 束 能 够 直接 执 
行 

iptables.rule 吵 ! 不 过 要 注意 的 是 ， 在 上 面 的 案例 当中 ， 乌 哥 预 设 将 所 
有 的 服务 的 
通道 都 是 关闭 的 ! 
注 符号 的 解 
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开 才 行 。 同样 的 ， 如 果 有 其 他 更 多 的 port 想 要 开局 时 ， 一 样 需 要 增加 
额外 的 规则 才 


行 喔 ! 


这 个 firewall 仅 能 提供 基本 的 安全 防 
护 ， 其 


的 相关 问题 还 需要 再 测试 测试 昵 ! 此外， 如 果 你 希望 一 开机 就 自动 执 
行 这 个 script 的 








话 ， 请 将 这 个 档案 的 完整 档 名 写 入 /etc/rc.d/rc.local 当中 ， 有 点 像 底下 这 
样 : 


[root@www ~]# vim /etc/rc.d/rc.local 
…( 其 他 省 略 )..… 

# 1. Firewall 
/usr/local/virus/iptables/iptables.rule 


事实 上 ， 这 个 脚本 的 最 底下 已 经 加 入 写 入 防火 墙 默 认 规 则 文件 的 功能 ， 
所 以 你 只 要 执行 


一 次 ， 就 拥有 最 正确 的 规则 了 ! ”上述 的 rc.local 仅 是 预防 万 一 而 已 。 
a 


个 档案 请 你 不 要 在 Windows 系统 上 面 编辑 后 才 传 送 到 Linux 上 运作 ， 
因为 Windows 


系统 的 断 行 字符 问题 ， 将 可 能 导致 该 档案 无 法 执行 。 建 议 你 直接 到 底下 
去 下 载 ， 传 送 到 


Linux 后 可 以 利用 dos2unix 指令 去 转换 断 行 字符 ! 就 不 会 有 问题 ! 
http:/Ninux.vbird.org/download/index.php?action=detail&fileid=43 


这 就 是 一 个 最 简单 、 阳 春 的 防火 墙 。 同 时 ， 这 个 防火 墙 还 可 以 具有 最 阳 
春 的 IP 分 


享 器 的 功能 呢 ! 也 就 是 在 iptables.rule 这 个 档案 当中 的 第 二 部 分 了 。 这 
部 分 我 们 


在 下 一 节 会 再 继续 介绍 的 。 
9.5 NAT 服务 器 的 设 定 


呼 呼 ! 终于 来 到 这 个 地 方 了 ! 我 们 准备 要 架设 一 个 路 由 器 的 延伸 服务 


NAT 服务 堪 。 NAT 是 什么 呢 ? 简单 的 说 ， 你 可 以 称 他 为 内 部 LAN 主 
机 的 『 IP 分 享 器 ] 


啦 ! 


NAT 的 全 名 是 Network Address Translation， 字面 上 的 意思 是 『 网 络 地 
址 的 转换 上 」 。 


由 字面 上 的 意思 我 们 来 想 一 想 ， TCP/IP 的 网 络 封包 不 是 有 IP 地 址 吗 ? 
那 IP 地 址 不 


9 来 源 与 目的 吗 ? 我 们 的 iptables 指令 就 能 够 修改 IP 封包 的 表 头 数 
站， 嘿嘿 ! 


连 目标 或 来 源 的 IP 地 址 都 可 以 修改 呢 ! 甚至 连 TCP 封包 表 头 的 port 


number 也 能 修 


改 ! 真是 有 趣 ! 





之 外 ， 还 
可 以 达到 类 似 图 9.1-4 所 介绍 的 DMz ( 非 军事 区 ) 的 功能 ! 这 完全 取决 


于 我 们 的 NAT 
是 修改 : (1) 来 源 卫 还 是 (2) 目 标 IP! 底下 我 们 就 来 聊 一 聊 吧 ! 和信 
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9.5.1 什么 是 NAT? SNAT? DNAT? 


在 谈 到 NAT 的 实际 运作 之 前 ， 让 我 们 再 来 看 一 下 比较 简单 的 封包 透 过 
iptables 


而 传送 到 后 端 主机 的 表格 与 链 流程 (请 往 前 参 9.3-4)。 当 网 络 布线 
如 图 9.1-2 的 


架构 ， 若 内 部 LAN 有 任何 一 部 主机 想 要 传送 封包 出 去 时 ， 那么 这 
包 要 如 何 透 过 


Linux 主机 而 传送 出 去 ? 他 是 这 样 的 : 
1. 先 经 过 NAT table 的 PREROUTING 链 ; 


2. 经 由 路 由 判断 确定 这 个 封包 是 要 进入 本 机 与 否 ， 硅 不 进入 本 机 ， 则 下 


We | ss 
少 ; 
3. 再 经 过 Filter table 的 FORWARD 链 ; 
4. 通过 NAT table 的 POSTROUTING 链 ， 最 后 传送 出 去 。 


NAT 服务 器 的 重点 就 在 于 上 面 流程 的 第 1,4 步骤 ， 也 就 是 NAT table 的 
两 条 重要 


的 链 : PREROUTING 与 POSTROUTING。 那 这 两 条 链 有 什么 重要 的 功 
能 呢 ? 重点 在 于 修改 


IP 嘛 ! 但 是 这 两 条 链 修改 的 IP 是 不 一 样 的 ! POSTROUTING 在 修改 来 
源 IP， 


PREROUTING 则 在 修改 目标 IP 。 由 于 修改 的 IP 不 一 样 ， 所 以 就 称 为 
来 源 NAT 


(Source NAT, SNAT) 及 目标 NAT (Destination NAT, DNAT)。 我 们 先 来 
谈 一 谈 卫 分 


享 器 功能 的 SNAT 吧 ! 


来 源 NAT, SNAT: 修改 封包 表 头 的 『 来 源 上 」 项目 


你 应 该 有 上 听 说 过 IP 分 享 器 这 个 玩意 儿 ， 他 可 以 让 你 家 庭 里 的 好 几 部 主 
机 同时 透 


过 一 条 ADSL 网 络 联 机 到 Intemet 上 面 ， 例如 图 9.1-2 联机 的 方式 来 


说 ， 那 


个 Linux 主机 就 是 卫 分 享 器 啦 ! 那么 他 是 如 何 达到 IP 分 享 的 功能 ? 束 
时 YY 
是 透 


过 NAT 表格 的 POSTROUTING 来 处 理 的 。 作 
和 


那么 NAT 服务 器 是 如 何 处 理 这 个 封包 的 呢 ? 
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图 9.5-1、SNAT 封包 传送 出 去 的 示意 图 

如 上 图 所 示 ， 在 客户 端 192.168.1.100 这 部 主机 要 联机 到 
http://tw.yahoo.com 去 时 ， 他 的 封包 表 头 会 如 何 变化 ? 

1. 客户 端 所 发 出 的 封包 表 头 中 ， 来 源 会 是 192.168.1.100 ， 然 后 传送 

到 NAT 这 部 主机 ; 

2. NAT 这 部 主机 的 内 部 接口 (192.168.1.2) 接收 到 这 个 封包 后 ， 会 主 

动 分 析 表 头 数据 ， 因为 表 头 数据 显示 目的 并 非 Linux 本 机 ， 所 以 开始 经 


过 路 由 ， 将 此 封包 转 到 可 以 连接 到 Internet 的 Public IP 处 ; 

3. 由 于 private IP 与 public IP 不 能 互通 ， 所 以 Linux 主机 透 过 
iptables 的 NAT table 内 的 Postrouting 链 将 封包 表 头 的 来 源 伪装 成 

为 Linux 的 Public IP ， 并 且 将 两 个 不 同 来 源 (192.168.1.100 及 

public IP) 的 封包 对 应 写 入 暂 存 内 存 当 中 ， 然后 将 此 封包 传送 出 去 了 ; 


此 时 Internet 上面 看 到 这 个 封包 时 ， 都 只 会 知道 这 个 封包 来 自 那 个 
Public IP 


而 不 知道 其 实 是 来 自 内 部 啦 。 好 了 ， 那 么 如 果 Internet 回 传 封包 昵 ? 又 





GAEL 
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图 9.5-2、SNAT 封包 接收 的 示意 图 

4. 在 Internet 上 面 的 主机 接 到 这 个 封包 时 ， 会 将 响应 数据 传送 给 那个 
Public IP 的 主机 ; 

5. 当 Linux NAT 服务 器 收 到 来 自 Internet 的 回应 封包 后 ， 会 分 析 该 
封包 的 序号 ， 并 比 对 刚刚 记录 到 内 存 当 中 的 数据 ， ”由 于 发 现 该 封包 为 


E 
端 主 机 之 前 传送 出 去 的 ， 因 此 在 NAT Prerouting 链 中 ， 会 将 目标 卫 修 
改 成 为 后 端 主机 ， 亦 即 那 部 192.168.1.100， 然 后 发 现 目 标 已 经 不 是 本 机 
(public IP)， 所 以 开始 透 过 路 由 分 析 封 包 流 加 

6. 封包 会 传送 到 192.168.1.2 这 个 内 部 接口 ， 然 后 再 传送 到 最 终 目 标 
192.168.1.100 机 器 上 去 ! 


经 过 这 个 流程 ， 你 就 可 以 发 现 到 ， 所 有 内 部 LAN 的 主机 都 可 以 透 过 这 
部 NAT 服 


务 占 联机 出 去 ， 而 大 家 在 Internet 上 面 看 到 的 都 是 同一 个 IP (就 是 NAT 
那 


部 主机 的 public IP 啦 ! )， 所 以 ， 如 果 内 部 LAN 主机 没有 连 上 不 明 网 
站 的 话 ， 


那么 内 部 主机 其 实 是 具有 一 定 程度 的 安全 性 的 啦 ! 因为 Internet 上 的 其 
他 主 


机 没有 办 法 主动 攻击 你 的 LAN 内 的 PC 嘛 ! 所 以 我 们 才 会 说 ， NAT 最 
简单 的 功 


能 就 是 类 似 IP 分 至 器 啦 ! 那 也 是 SNAT 的 一 种 。 











Tips: 


NAT 服务 器 与 路 由 器 有 啥 不 同 ? 基本 上 ，NAT 服务 器 一 定 是 路 由 器 ， 
不 过 ，NAT 服务 器 由 于 会 修改 卫 表 头 数据 ， 因此 与 单纯 转 递 封 
包 的 路 由 器 不 同 。 最 常见 的 IP 分 享 器 就 是 一 个 路 由 器 ， 但 是 这 

IP 分 享 器 一 定 会 有 一 个 Public IP 与 一 个 Private IP， 让 LAN 内 

的 Private IP 可 以 透 过 IP 分享 器 的 Public IP 传送 出 去 喔 ! 至 

于 路 由 器 通常 两 边 都 是 Public IP 或 同时 为 Private IP。 
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EE er 
S: 6].XX,XXXX 
Dport: 30 


Dpublioip 
D: 192.168.1.210 


目标 NAT, DNAT: 修改 封包 表 头 的 『 目 标 上 项 目 


SNAT 主要 是 应 付 内 部 LAN 连接 到 Internet 的 使 用 方式 ， 至 于 DNAT 
则 主要 用 


在 内 部 主机 想 要 架设 可 以 让 Internet 存 取 的 服务 器 啦 ! 就 有 点 类 化 
9.1-4 


的 DMZ 内 的 服务 器 啊 ! 底下 也 先 来 谈 一 谈 DNAT 的 运作 吧 ! 


图 9.5-3、DNAT 的 封包 传送 示意 图 


如 上 图 所 示 ， 假 设 我 的 内 部 主机 192.168.1.210 启动 了 WWW 服务 ， 这 
个 服务 的 


port 开启 在 port 80 ， 那么 Internet 上 面 的 主机 (61.xx.xx.xx) 要 如 何 连 


接 到 我 的 内 部 服务 器 呢 ? 当然 啦 ， 还 是 得 要 透 过 Linux NAT 服务 器 
呆 ! 所 以 这 


部 Internet 上 面 的 机 器 必须 要 连接 到 我 们 的 NAT 的 public IP 才 行 。 


4. 外 部 主机 想 要 连接 到 目的 端的 WWW 服务 ， 则 必须 要 连接 到 我 们 的 
NAT 服务 器 


A 


5. 我 们 的 NAT 服务 器 已 经 设 定 好 要 分 析出 port 80 的 封包 ， 所 以 当 
NAT 服务 


器 接 到 这 个 封包 后 ， 会 将 目标 卫 由 public IP 改 成 192.168.1.210 ， 且 将 
该 封包 


相关 信息 记录 下 来 ， 等 竺 内 部 服务 器 的 啊 应 ; 


6. 上 述 的 封包 在 经 过 路 由 后 ， 来 到 ”private 接口 处 ， 然 后 透 过 内 部 的 
LAN 传送 


到 192.168.1.210 上 头 ! 
7. 192.186.1.210 会 响应 数据 给 61.xx.xx.xx ， 这 个 回应 当然 会 传送 到 
192.168.1.2 上 头 去 ; 


8. 经 过 路 由 判断 后 ， 来 到 NAT Postrouting 的 链 ， 然 后 透 过 刚刚 第 二 步 
又 的 记 


录 ， 将 来 源 耳 由 192.168.1.210 改 为 public IP 后 ， 束 可 以 传送 出 去 了 ! 











其 实 整个 步骤 几乎 就 等 于 SNAT 的 反 疝 传送 哩 ! 这 就 是 DNAT 嘿 ! 很 
简单 吧 ! 
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9.5.2 最 阳春 NAT 服务 器 : IP 分 享 功能 








在 Linux 的 NAT 服 
享 器 功 


能 了 。 而 由 刚刚 的 介绍 你 也 该 知道 ， 这 个 IP 分 享 器 的 功能 其 实 就 是 
SNAT 啦 ! 作用 


就 只 是 在 iptables 内 的 NAT 表格 当中 ， 那 个 路 由 后 的 POSTROUTING 
链 进 行 IP 的 伪 


装 就 是 了 。 另 外 ， 你 也 必须 要 了 解 ， 你 的 NAT 服务 器 必须 要 有 一 个 
public IP 接口 ， 


以 及 一 个 内 部 LAN 连接 的 private IP 接口 才 行 。 底 下 的 范例 中 ， 乌 哥 的 
假设 是 这 样 


的 : 
外 部 接口 使 用 eth0 ， 这 个 接口 具有 public IP 喔 ; 
内 部 接口 使 用 ethl1 ， 假 设 这 个 IP 为 192.168.100.254 ; 


记 住 ! 当 你 利用 前 面 几 半 谈 到 的 数据 来 设 定 你 的 网 络 参数 后 ， 务 必要 进 
行路 由 的 检 


汕 ， 因为 在 NAT 服务 器 的 设 定 方 面 ， 最 容易 出 错 的 地 方 束 是 路 由 了 ! 
尤其 是 在 拨 接 产 


生 ppp0 这 个 对 外 接口 的 环境 下 ， 这 个 问题 最 严重 。 反 正 你 要 记得 : 
『 如 果 你 的 public 











IP 取得 的 方式 是 拨 接 或 cable modem 时 ， 你 的 配置 文件 


/etc/sysconfig/network, 


ifcfg-eth0, ifcfg-ethl 等 档案， 和 于 万 不 要 设 定 GATEWAY 啦 ! 」 盏 则 就 会 
出 现 两 个 


default gateway ， 反 而 会 造成 问题 。 





如 果 你 刚刚 已 经 下 载 了 iptables.rule ， 那 么 该 档案 内 已 经 含有 NAT 的 脚 
本 了 ! 





iptables -A INPUT -i $INIF -j ACCEPT 

# 这 一 行为 非 必 要 的 ， 

主要 的 目的 是 让 内 网 LAN 能 够 完全 的 使 用 NAT 服务 器 

# 其 中 $INIF 在 本 例 中 为 ethl 接口 

echo "1" > /proc/sys/net/ipv4/ip_forward 

# 上 头 这 一 行 则 是 在 让 你 的 Linux 具有 router 的 能 

iptables -tnat -A POSTROUTING -s $innet -o $EXTIF -} MASQUERADE 
# 这 一 行 最 关键 ! 就 是 加 入 nat table 封包 伪装 ! 本 例 中 $innet 是 
192.168.100.0/24 

# 而 $SEXTIF 则 是 对 外 界面 ， 本 例 中 为 eth0 


重点 在 那个 『 MASQUERADE 上 」! 这 个 设 定 值 就 是 『 IP 伪装 成 为 封包 
出 去 (-o) 的 那 块 


装置 上 的 IP 」! 以 上 面 的 例子 来 说 ， 就 是 $EXTIF ， 也 就 是 eth0 啦 ! 
所 以 封包 来 


源 只 要 来 自 $innet (也 就 是 内 部 LAN 的 其 他 主机 ) ， 只 要 该 封包 可 透 过 
eth0 传送 出 


去 ， 那 束 会 自动 的 修改 IP 的 来 源 表 头 成 为 eth0 的 public IP 啦 ! 就 这 么 
简单 ! 你 


只 要 将 iptables.rule 下 载 后 ， 并 设 定好 你 的 内 、 外 网 络 接口 ， 执行 
iptables.rule 后 ， 你 的 Linux 就 拥有 主机 防火 墙 以 及 NAT 服务 器 的 功能 
了 1 
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例题 : 


如 同上 面 所 述 的 案例 ， 那 么 你 的 LAN 内 的 其 他 PC 应 该 要 如 何 设 定 相 
天 的 网 


络 参数 ? 
As 。 
ED。 


答案 其 实 很 简单 啊 ， 将 NAT 服务 器 作为 PC 的 GATEWAY 即 可 ! 只 要 
记得 底下 


的 参数 值 : 
NETWORK 为 192.168.100.0 
NETMASK 为 255.255.255.0 


BROADCAST 为 192.168.100.255 





IP 可 以 设 定 192.168.100.1 ~ 192.168.100.254 间 ， 不 可 重复 ! 


通讯 闸 (Gateway) 需要 设 定 为 192.168.100.254 (NAT 服务 器 的 


Private IP) 
DNS (/etc/resolv.conf) 需 设 定 为 168.95.1.1 (Hinet) 或 
139.175.10.20 (Seed Net)， 这 个 请 依 你 的 ISP 而 定 ; 


事实 上 ， 除 了 IP 伪装 (MASQUERADE) 之 外 ， 我 们 还 可 以 直接 指定 修 
改 IP 封包 表 


头 的 来 源 IP 呢 ! 举例 来 说 ， 如 下 面 这 个 例子 : 
例题 : 
假设 对 外 的 IP 固定 为 192.168.1.100 ， 若 不 想 使 用 伪装 ， 该 如 何 处 理 ? 


似 : 


已 





iptables -t nat -A POSTROUTING -o eth0 -j SNAT\ 

--to-source 192.168.1.100 

例题 : 

假设 你 的 NAT 服务 器 对 外 IP 有 好 几 个 ， 那 你 想 要 轮流 使 用 不 同 的 IP 
时 ， 叉 该 如 何 设 定 ? 举 例 来 说 ， 你 的 IP 范围 为 
192.168.1.210~192.168.1.220 

答 : 

iptables -t nat -A POSTROUTING -o eth0 -j SNAT\ 

--to-source 192.168.1.210-192.168.1.220 


这 样 也 可 以 修改 网 络 封 包 的 来 源 IP 资料 喔 ! 不 过 ， 除 非 你 使 用 的 是 固 
定 IP ， 且 


有 多 个 IP 可 以 对 外 联机 ， 人 否则 一 般 使 用 IP 伪装 即 可 ， 不 需要 使 用 到 这 





个 SNAT 啦 ! 

当然 ， 你 也 可 能 有 自己 的 独特 的 环境 啦 ! 人 人 
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9.5.3 iptables 的 额外 核心 模块 功能 






AAA 一 汞 





如 果 你 刚刚 在 _iptables.rule 那 有 没有 党 得 


很 奇怪 ， 


为 何 我 们 需要 加 载 一 些 有 用 的 模块 ? 举例 来 说 ， ip_nat ftp 及 记 _nat_irc 
? 这 是 





因为 很 多 通讯 协议 使 用 的 封包 传输 比较 特殊 ， 尤 其 是 FTP 文件 传输 使 
用 到 两 个 port 


来 处 理 数据 ! 这 个 部 分 我 们 会 在 FTP 章节 再 来 详 谈 ， 在 这 里 你 要 先知 
道 ， 我 们 的 


iptables 提供 很 多 好 用 的 模块 ， 这 些 模块 可 以 辅助 封包 的 过 滤 用 途 ， 让 
我 们 可 以 市 省 


很 多 iptables 的 规则 拟定 ， 好 棒 的 响 ! 人 人 
9.5.4 在 防火 墙 后 端 之 网 络 服 务 器 DNAT 设 定 


既然 可 以 做 SNAT 的 IP 分 享 功能 ， 我 们 当然 可 以 使 用 iptables 做 出 
DMZ 啦 ! 


但 是 再 次 重申 ， 不 同 的 服务 顺 封 包 传输 的 方式 可 能 有 点 兰 异 ， 因 此 ， 建 
议 新 手 不 要 玩 这 


个 噬 噬 ! 否则 很 容易 导致 菜 些 服务 无 法 顺利 对 Internet 提供 的 问题 。 











先 来 谈 一 谈 ， 如 果 我 想 要 处 理 DNAT 的 功能 时 ， iptables 要 如 何 下 达 指 
人 ?7 另 
人 


外 ， 你 必须 要 知道 的 是 ， DNAT 用 到 的 是 nat table 的 Prerouting 链 喔 ! 
不 要 搞 错 


Ts 
例题 : 
假设 内 网 有 部 主机 IP 为 192.168.100.10 ， 该 主机 是 可 对 Internet 开 


放 的 WWW 服务 器 。 你 该 如 何 透 过 NAT 机 制 ， 将 WWW 封包 传 到 该 
主机 上 ? 


分 5 。 

假设 public IP 所 在 的 接口 为 eth0 ， 那 么 你 的 规则 就 是 : 
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 \ 
-] DNAT --to-destination 192.168.100.10:80 


那个 『 -j DNAT --to-destination IP[:port] 」 就 是 精髓 啦 ! 代表 从 eth0 这 
个 
| 


接口 传 入 的 ， 且 想 要 使 用 port 80 的 服务 时 ， 将 该 封包 重新 传导 到 


192.168.100.10:80 的 IP 及 port 上 面 ! 可 以 同时 修改 IP 与 port 呢 ! 真 方 
便 。 其 


他 还 有 一 些 较 进 阶 的 iptables 使 用 方式 ， 如 下 所 示 : 
-] REDIRECT --to-ports <port number> 
个 也 拌 常 见 的 ， 基 本 上 ， 束 是 进行 本 机 上 面 port 的 转换 就 是 了 ! 


不 过 ， 特 别 留意 的 是 ， 这 个 动作 仅 能 够 在 nat table 的 PREROUTING 


六 
[ey 





#OUTPUT 链 上 面 实行 而 已 吗 ! 
范例 : 将 要 求 与 80 联机 的 封包 转 递 到 8080 这 个 port 
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[root@www ~]# iptables -t nat -A PREROUTING -ptcp --dport 80 \ 
> -] REDIRECT --to-ports 8080 


# 这 玩意 最 容易 在 你 使 用 了 非 正 规 的 port 来 进行 某 些 well known 的 协 
WW, 


例如 使 用 8080 这 个 port 来 启动 WWW ， 但 是 别人 都 以 port 80 来 联 
jls 








。 所 以 ， 你 束 可 以 使 用 上 面 的 方式 来 将 对 方 对 你 主机 的 联机 传递 到 8080 
ly ! 


至 于 更 多 的 用 途 ， 那 就 有 竺 你 自己 的 发 掘 哆 ! 人 人 

9.6 重点 回顾 

nn 必须 要 有 良好 的 主机 权限 设 定 ;， 随 时 的 更 新 

完善 的 员工 教育 训练 。 仅 有 防火 墙 是 不 足够 
防火 墙 最 大 的 功能 就 是 帮助 你 『 限 制 某 些 服务 的 存 取 来 源 ] ， 可 以 管 

制 来 源 

与 目标 的 IP; 


防火 墙 依据 封包 抵挡 的 阶层 ， 可 以 分 为 Proxy 以 及 IP Filter (封包 过 
滤 ) 


两 种 类 型 


人 
( 非 车 


区 )， 如 图 9.1-4 所 示 ; 
封包 过 滤 机 制 的 防火 场 ， 通 党 至 少 可 以 分 析 IP, port, flag (如 TCP 封 


的 SYN), MAC 等 等 ; 
防火 墙 对 于 病毒 的 抵挡 并 不 敏感 ; 
防火 墙 对 于 来 自 内 部 的 网 络 误 用 或 滥用 的 抵挡 性 可 能 较 不 足 ; 


并 不 是 架设 防火 墙 之 后 ， 系 统 束 一 定 很 安全 ! 还 是 需要 更 新 套件 漏洞 
以 及 管 


制 使 用 者 及 权限 设 定 等 ; 
核心 2.4 以 后 的 Linux 使 用 iptables 作为 防火 墙 的 软件 ; 


。 芒 炎 增 的 订 害 与 『 规则 顺序 」 有 很 大 的 关系 ; 大 规则 顺序 错误 ， 可 能 
会 寻 至 


防火 墙 的 失效 ; 
iptables 的 预 设 table 共有 三 个 ， 分 别 是 filter, nat 及 mangle ， 惯 
用 者 为 filter (本 机 ) 与 nat (后 端 主机 )。 


filter table ”主要 为 针对 本 机 的 防火 增设 定 ， 依 据 封包 流 同 又 分 为 
INPUT, 








OUTPUT, FORWARD 三 条 链 ; 


nat ”table ”主要 针对 防火 墙 的 后 端 主机 ， 依 据 封 包 流 问 又 分 为 
PREROUTING, 


OUTPUT, POSTROUTING 三 条 链 ， 其 中 PREROUTING 与 DNAT 有 
关 ， POSTROUTING 


则 与 SNAT 有 关 ; 
iptables 的 防火 墙 为 规则 比 对 ， 但 所 有 规则 都 不 符合 时 ， 则 以 预 设 政 
策 


(policy) 作为 封包 的 行为 依据 ; 
iptables 的 指令 列 当 中 ， 可 以 下 达 的 参数 相当 的 多 ， 当 下 达 -jj LOG 的 


数 时 ， 则 该 封包 的 流程 会 被 纪录 到 /var/log/messages 当中 ; 


防火 墙 可 以 多 重 设 定 ， 例 如 虽然 已 经 设 定 了 iptables ， 但 是 仍然 可 以 
持续 


设 定 TCP Wrappers ， 因 为 谁 也 不 晓得 什么 时 候 iptables 会 有 漏洞 一 或 者 
是 规 


则 规划 不 民 ! 
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9.7 本 章 习 题 
为 什么 我 架设 了 防火 墙 ， 我 的 主机 还 是 可 能 中 毒 ? 


pe 他 还 是 可 能 被 病毒 或 者 是 木马 程序 所 入 侵 的 ! 此 


如 果 你 的 主机 本 身 就 已 经 提供 了 多 个 网 络 服务 ， 则 当 该 网 络 服务 的 软件 
有 漏洞 时 ， 








监视 与 后 


请 说 明 为 何 染 设 了 防火 墙 ， 我 的 主机 还 古 可 能 被 入 侵 ? 入 侵 的 依据 可 


A 

ot 0 
时 ， 

则 要 求 你 主机 port 80 的 封包 将 可 直接 进入 你 的 主机 ， 万 一 WWW 套件 
有 漏洞 时 ， 

那么 就 可 能 被 入 侵 了 ! 所 以 软件 的 更 新 很 重要 ! 


我 们 知道 核心 为 2.6 的 Linux 使 用 的 防火 墙 机 制 为 iptables ， 请 问 ， 
如 


何 知 道 我 的 Linux 核心 版 本 ? 
利用 uname -r 可 以 查 得 ! 
请 列 出 iptables 预 设 的 两 个 主要 的 table ， 以 及 各 个 table 里 面 的 
chains 与 各 个 chains 所 代表 的 意义 ; 
filter 为 预 设 的 Table， 里 头 预 设 的 链 有 : 
oINPUT: 为 来 自 外 部 ， 想 要 进入 主机 的 封包 ，; 
0 OUTPUT: 为 来 自主 机 ， 想 要 离开 主机 的 封包 ; 
0 FORWARD: 为 主机 内 部 网 域 与 外 部 网 域 的 封包 (不 论 进 或 者 出 )， 但 


该 
封包 不 会 进入 主机 。 
还 有 nat 这 个 table: 


oPREROUTING: 进行 路 由 之 前 的 封包 传送 过 程 





oOUTPUT: 离开 主机 的 封包 传送 过 程 ; 

0 POSTROUTING: 已 经 经 过 路 由 了 ， 然 后 才 进 行 的 过 滤 规 则 。 
什么 是 iptables 的 预 设 政策 (Policy)? 若 我 要 针对 filter 的 INPUT 

做 成 DROP 的 默认 政策 ， 指 令 如 何 下 达 ? 


当 圭 包 的 所 有 属性 部 不 在 防火 寺 的 规则 当中 时 ， 那 么 这 个 封包 能 否 顺 和 
JJ 十 


过 防火 场 ， 则 以 Policy 作为 这 个 封包 的 最 终 动 作 了 ! 
iptables -P INPUT DROP 
net.qiang@hotmail.com 
假设 今天 我 的 Linux 仅 是 作为 Client 之 用 ， 并 没有 对 Internet 进行 任 
何 服务 ， 那么 你 的 防火 墙 规划 应 该 如 何 设 定 比较 好 ? 
既然 没有 对 Internet 提供 任何 服务 ， 那 么 (1) 请 将 所 有 的 对 外 塌 口 先 关闭 


吧 ! (2) 防 火 墙 规 则 当中 ， 最 重要 的 是 INPUT 的 Policy 一 定 要 DROP ， 
然后 将 


[ iptables -A INPUT -m state --state RELATED,ESTABLISHED -i 
ACCEPT | 


即 可 ! 
我 要 将 来 自 192.168.1.50 这 个 IP 来 源 的 封包 ， 只 要 是 向 我 的 21~23 








塌 
口 要 求 的 封包 ， 就 将 他 抵挡 ， 应 该 如 何 下 达 iptables 指令 ? 
iptables -A INPUT -p tcp -s 192.168.1.50 --dport 21:23 -] DROP 


我 要 将 我 目 己 主机 ping 的 啊 应 功能 取消 ， 应 该 如 何 下 达 iptables 的 指 


令 ? 
因为 ping 能 否 啊 应 用 的 是 icmp 的 type 8 (请 参考 网 络 基础 内 的 ICMP 
相关 内 容 )， 所 以 我 可 以 这 样 做 : 
iptables -IINPUT -p icmp --icmp-type 8 -) DROP 

请 说 明 为 何 这 个 指令 是 错误 的 ? [iptables -A INPUT -p udp --syn -s 
192.168.0.20 -jj DROP」? 


因为 只 有 TCP 封包 才 会 具有 SYN 的 标志 ， UDP 并 没有 SYN 的 标志 
啊 ! 所 


以 上 面 的 指令 是 错误 的 


DNS 的 要 求 是 必须 的 ， 那 么 我 该 如 何 设 定 我 的 主机 可 以 接受 要 求 
DNS 的 响 


应 呢 ? 


因为 DNS 的 来 源 是 port 53 ， 因 此 要 接受 来 自 port 53 的 封包 就 成 为 
了 了 : 


iptables -A INPUT -p udp --sport 53 -] ACCEPT 
iptables -A INPUT -p tcp --sport 53 -] ACCEPT 
如 何 取消 iptables 在 我 的 系统 上 面 ? 


先 要 清除 规则 后 ， 才 能 够 将 iptables 移 除 ! 不 过 ， 我 们 主要 将 规则 清除 
印 


可 ! 
iptables -F; iptables -X; iptables -2Z 


iptables -tnat -FE; iptables -t nat -X; iptables -t nat -Z 


目前 的 防火 墙 机 制 ， 以 及 如 何 将 上 次 储存 下 来 的 机 制 回复 到 
目前 区 


系统 中 ? 
请 利用 iptables-save 以 及 iptables-restore 这 两 个 指令 ， 配 合 命令 重 
导 同 即 可 ! 也 可 以 使 用 /etc/init.d/iptables save 来 储存 喔 ! 
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人 
IP 锁 住 ， 但 他 总 是 有 办 法 修改 成 其 他 IP 来 连 外 ， 那 你 该 怎么 办 ? 让 他 
无 法 继 

续 连 外 ? 

可 以 利用 封锁 网 络 卡 卡号 MAC 来 处 理 ! 

9.8 参考 数据 与 延伸 阅读 





注 2: 与 iptables 相关 的 网 站 与 书籍 : 
中 文 网 站 : 


Oo http://www.study-area.org/linux/servers/linux nat.htm 
英文 网 站 : 


0 http:/www.netfilter.org/ 


O 


http:/www.netfilter.org/documentation/HOWTO//packet-filtering- 
HOWTO.html 


o http://www.interhack.net/pubs/fwfag/ 
0 
http://www.sysresccd.org/Sysresccd-Networking-EN-Destination-po 
rt-routing 
其 他 书籍 与 数据 : 
0 Robert L. Ziegler 着 ， 
朱 亮 恺 等 译 ， 

[实战 Linux 防火 墙 --iptables 
应 用 全 搜 录 」， 上 奇 出 版 社 ，2004。 
o 本 机 的 核心 文件 : 
/usr/src/linux-{version}/networking/ip-sysctl.txt 
o iptables 的 内 建 tables 与 各 个 chain 的 相关 性 : 
http://ebtables.sourceforge.net/br fw ia/bridge3b.png 
0 核心 参数 的 相关 说 明 : 
http://www.study-area.org/tips/adv-route/Adv-Routing-HOWTO-12.h 


tml 


0 使 用 PPPoE 导致 的 MTU 问题 : 


http://www.akadia.com/services/pppoe_iptables.html 
2002/08/20: 第 一 次 完成 日 期 ! 
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2003/08/25: 重新 设计 内 容 ， 改 写 一 些 指令 
溉 他 | 分 的 比 





较 完 整 一 点 ! 

2006/09/06: 将 旧 的 文章 移动 到 此 处 

2006/09/11: 拿 已 经 在 基础 篇 有 介绍 过 区 认识 服务 之 TCP 
Wrappers。 


2006/09/13: 加 入 NAT 的 说 明了 ， 将 旧 的 NAT 主机 移动 到 此 处 。 
2006/09/15: 将 iptables.rule 的 连结 贴 上 去 了 ! 之 前 态 记 修改 该 档案 了 ~ 


2006/11/08: 因为 PPPoE 拨 接 与 Ethernet 的 MTU 不 同 ， 可 能 在 某 些 情 
况 下 会 导致 使 


用 者 无 法 联机 ， 更 新 了 iptables.rule 了 。 
2010/10/27: 将 旧 的 基于 CentOS 4.x 的 版 本 移动 到 此 处 


2011/02/08: 修改 了 很 多 图 示 ， 并 有 旦 将 文句 作 个 整理 ， 大 方向 并 没有 特 
殊 的 修改 ! 


2011/07/22: 将 基于 CentOS 5.x 的 版 本 移动 到 此 处 
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大 E> 语 Wa 


最 近 更 新 日 期 : 2011/07/23 


在 读 完 了 网 络 基础 并 且 架 设 了 个 人 简易 的 防火 墙 之 后 ， 总 算是 准备 要 开 
始 来 给 他 进入 Server 的 架设 了 ! 


服务 器 架设 的 步骤 里 面 ， 很 重要 的 一 点 是 『 你 的 主机 名 必须 要 在 
Internet 上 面 可 以 被 查询 上 」 才 好 ! 这 


是 因为 人 类 对 于 IP 记忆 力 不 佳 ， 所 以 才 会 以 主机 名 来 取代 IP。 不 过 ， 
你 的 主机 名 要 能 够 被 查询 到 才 


有 用 啊 ! 这 个 时 候 ， 一 个 『 合 法 上 的 主机 名 就 很 重要 了 ! 那 要 合法 的 主 
机 ， 就 得 要 让 DNS 系统 能 够 找 的 


到 你 的 主机 啊 ! 不 过 ， 如 果 我 们 的 主机 是 使 用 拨 接 得 到 的 不 固定 IP 
呢 ? 又 该 如 何 申请 DNS 主机 名 ? 那 


就 得 要 使 用 动态 DNS 的 系统 吃 ! 在 这 个 章节 中 ， 我 们 主要 在 介绍 Client 
端的 设 定 ， 而 不 是 在 设 定 DNS 


服务 器 喔 ! 人 信人 
10.1 为 何 需 要 主机 名 











10.1.1 主机 名 的 由 来 
10.1.2 重点 在 合法 授权 





10.2 注册 一 个 合法 的 主 





10.4 本 音 习 题 








TCP/IP 环 境内 


要 有 ”IP 与 正确 的 路 由 即 可 联机 了 。 那 么 你 申请 主机 名 要 王 咏 ? 因为 
[ 没 办 法 啊 ! 人 脑 


太 不 中 用 了 ! 」 举例 来 说 ， 你 可 以 背 出 来 我 们 第 上 去 但 数据 的 


www.google.com 的 IP 吗 ? 
报告 ! 鸟 哥 没 办 法 背 出 来 ~ 


和 是 那么 难 背 的 东西 ， 而 且 ， 如 果 你 的 IP 又 是 类 似 拨 接 的 不 固定 
J IP 时 ， 


那 还 更 伤 脑筋 呢 ! ”因此 我 们 才 会 习惯 以 熟悉 的 英文 字符 串 来 做 为 主机 
名 ， 然 后 让 『 这 


个 主机 名 与 IP 达成 对 应 」】， 那 直接 记忆 主机 名 就 行 了 ， 反 正 IP 的 查询 
就 交 给 计算 机 


主机 来 做 即 可 ! 在 这 样 的 想法 下 ， 我 们 当然 就 需要 有 主机 名 啦 ! 
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在 这 个 章节 当中 ， 我 们 将 会 介绍 如 何 申请 一 个 合法 的 主机 名 。 目 前 
Internet 上 面 使 用 的 主机 名 都 是 透 过 所 谓 的 DNS 系统 ， 而 你 想 要 
取得 一 个 DNS 的 主机 名 ， 就 必须 要 『 注 册 」 ， 所 谓 的 『 注 册 」 就 是 
要 钱 去 申请 啦 ! 当然 也 有 免费 提供 主机 名 的 服务 啦 ! 在 这 个 章节 当 
中 鸟 哥 不 会 介绍 如 何 架 设 一 部 DNS 服务 器 ， 而 是 介绍 如 何 利 用 注 
册 或 免费 申请 的 方式 来 达成 主机 名 的 取得 。 

10.1.1 主机 名 的 由 来 


因为 卫 是 这 么 难 记忆 的 东西 ， 因 此 人 们 就 使 用 『 名 字 」 来 对 应 到 主机 
的 IP， 这 


就 是 主机 名 的 由 来 。 ”好 在 早期 连 上 网 络 的 计算 机 数量 不 多 ， 所 以 在 网 
络 上 的 人 们 就 想 


出 一 个 简单 的 办 法 来 进行 主机 名 与 卫 的 对 应 ， 那 就 是 『 在 每 部 计算 机 
的 /etc/hosts 


里 面 设 定好 主机 名 与 IP 的 对 应 表 」。 那 么 人 们 惑 可 以 直接 夭 由 主机 名 
来 连接 上 茶 些 网 


络 上 的 主机 呢 ! 
连 上 Internet 的 人 们 越 来 越 多 ， 使 用 /etc/hosts 的 
方 > 




















已 经 搞 不 定 了 (只 要 一 部 新 计算 机 上 线 ， 全 部 Internet 上 面 的 所 有 计算 机 
都 要 重新 改 


写 /etc/hosts 才 行 ! ) ， 这 个 时 候 领 域名 系统 ( Domain Name System， 
DNS ) 就 适 


时 的 出 现 了 ! 





DNS 利用 类 似 树 状 目录 的 型 态 ， 将 主机 名 的 管理 分 配 在 不 同 层级 的 
DNS 服务 器 当 


中 ， 经 由 分 层 管 理 ， 所 以 每 一 部 服务 器 记忆 的 信息 就 不 会 很 多 ， 而 且 姑 
动 上 面 也 相当 的 


容易 修改 ! 这 个 DNS 的 功能 你 知道 了 吗 ? 对 啦 ! 束 是 『 将 计算 机 主机 
的 名 称 转译 成 IP ] 











就 是 了 ! 当然 吹 ， 他 的 额外 功能 还 很 多 ， 关 于 DNS 的 详细 的 解析 部 分 
我 们 将 在 后 续 的 第 








音 DNS 服务 器 架设 当 寺 续 好 ss， 总 之 ， 它 的 最 大 功能 
就 是 『 让 有 意义 


0 
地 址 ! ] 


透 过 上 面 的 简单 说 明 ， 你 得 要 知道 ， 如 果 你 想 要 一 个 主机 名 ， 那 你 就 得 
要 透 过 DNS 


系统 ， 而 不 是 单纯 的 修改 你 的 /etc/hosts 而 已 。 那 你 如 何 加 入 一 个 主机 
名 到 DNS 系 


统 当中 呢 ?『 授 权 」 是 重点 ! 那 什么 是 授权 呢 ? 
10.1.2 重点 在 合法 授权 


很 多 朋友 都 认为 : 『 因 为 我 想 要 架 站 ， 上 所 以 主机 需要 有 个 主机 名 ， 因 此 
我 束 得 要 染 

设 DNS 服务 器 ? 」 是 这 样 吗 ? 当然 不 是 吃 ! DNS 是 个 很 庞大 的 架构 ， 
而 且 是 串 连 在 全 


球 的 网 络 当 中 ， 除 非 你 经 由 『 注 册 」 的 手续 来 让 DNS 系统 承认 你 主机 
名 存在 的 合法 性 ， 


否则 你 染 设 的 DNS 只 能 说 是 一 个 [地 下 练习 的 测试 站 」 而 已 啦 ! 并 没 
有 用 途 的 。 


那 我 要 如 何 加 入 DNS 系统 呢 ? 很 简单 啦 ! 首先 你 必须 要 选择 一 个 注册 
单位 ， 并 且 


检查 出 你 想 要 注册 的 主机 名 是 否 存在 ? 主机 名 是 有 意义 的 ， 并 不 是 你 可 
以 随便 注册 的 喔 ! 








net.qiang@hotmail.com 


世界 的 DNS 系统 


瑟 狼 
Www,dic.ksu,edu.tw 


的 人 P 





举例 来 说 ， 在 台湾 常见 的 个 人 网 站 注册 主机 名 为 : *.idv.tw ， 而 公司 行 
号 则 可 能 注册 


为 *.com.tw 了 ! 这 个 得 要 特别 留意 。 至 于 台湾 地 区 的 注册 单位 很 多 ， 
你 可 以 选择 例如 


Hinet 或 Seednet 之 类 的 ISP 来 注册 。 当 然 ， 你 也 可 以 选择 免费 的 no- 
ip.org 来 注 


册 的 。 


如 果 想 要 了 解 噜 是 『 合 法 授权 」 的 话 ， 得 要 从 DNS 主机 名 的 查询 方式 
来 谈 起 ， 由 








于 DNS 查询 的 方式 都 是 由 上 层 的 ISP 提供 解析 授权 给 下 游 的 注册 者 ， 
因此 ， 下 游 的 注 


册 者 只 要 设 定 受 当 后 ， ”全 世界 的 主机 就 会 知道 你 设 定 的 数据 了 。 详 细 
的 碍 询 流 程 我 们 


留 到 DNS 服务 器 音节 再 来 谈 ， 底下 仅 是 介绍 一 个 简单 的 查询 示意 图 。 
图 10.1-1、 DNS 查询 示意 网 


举 昆 山 信 息 传 播 系 的 WWW 服务 器 的 主机 名 注册 方式 来 说 好 了 ， 我 们 
系 上 得 要 先 跟 


Ee (相当 于 我 们 的 ISP) 注册 取得 www.dic.ksu.edu.tw 这 个 主机 名 
与 卫 的 


对 应 ， 这 个 对 应 信息 是 写 在 昆山 计 中 的 DNS 服务 器 上 ， 与 资 传 系 的 
WWW 服务 器 无 关 


喔 ! 那 你 怎么 知道 那 部 www.dic.ksu.edu.tw 在 哪里 ?你 会 先 向 你 的 DNS 
要 求 查 询 ， 


该 DNS 会 去 问 全 世界 的 DNS 系统 查询 ， 该 系统 会 主动 的 查询 到 KSU 
dns 服务 器 ， 然 


后 你 的 PC 就 会 知道 www.dic.ksu.edu.tw 的 IP 在 哪 ， 最 后 你 就 开始 联机 
鹃 。 














从 这 个 流程 当中 ， 你 可 以 发 现 我 们 的 www 服务 器 与 KUS dns 服务 器 没 
有 绝对 关系 ， 


两 者 是 独立 的 ， 我 们 只 要 作 好 DNS 的 『 注 册 】 工作 (向 计 中 申请 注册 ) 
即 可 ， 并 不 需 


要 去 维护 DNS 的 信息 。 所 以 哆 ， 这 里 你 只 要 知道 : (1) 主 机 名 的 设计 是 
有 意义 的 ， 不 

可 以 随便 设 定 、 (2) 主 机 名 要 生效 ， 得 要 透 过 注册 来 取得 合法 授权 。 这 
样 就 好 了 ， 如 果 





想 要 架设 DNS 与 更 了 解 DNS 系统 的 话 ， 等 到 后 续 的 DNS 服务 器 音节 
再 来 谈 。 


Tips: 

在 这 个 章节 当中 ， 理 论 方面 的 讲解 比较 少 ， 因 为 很 多 数据 都 与 DNS 
服务 器 篇 有 重复 ， 在 这 个 章节 当中 乌 哥 主要 在 介绍 动态 IP 染 站 的 
一 个 简单 主机 名 申请 方式 啦 ! 人 人 
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世界 的 DNS 有 邓 入 





即刻 更 新 记 舍 
的 资料 矶 息 


Www.dic.ksu.edu.tw 
10.1.3 申请 静态 还 是 动态 DNS 主机 名 


由 上 面 的 说 明 当 中 ， 我 们 可 以 很 清楚 的 知道 DNS 系统 最 大 的 功能 就 是 
在 主机 名 对 


应 IP 的 转译 上 面 。 当 然 啦 ， 预 设 的 DNS 转译 是 用 在 『 固 定 IP 对 应 主 
机 名 」 的 方法 


投 。 在 这 个 情况 确 下 ， 你 在 DNS 





主机 名 后 ， 如 果 你 的 IP 不 会 更 动 ， 那 束 永 远 不 用 去 烦恼 主机 名 的 相关 
问题 吃 ， 这 也 


是 所 谓 的 静态 DNS 主机 名 功能 。 


Cs 我 们 的 很 多 小 网 站 都 是 以 非 固 定 IP 来 上 网 的 ， 更 有 其 
， 某 些 


ADSL 拨 接 模式 甚至 会 定时 强制 断 线 ， 也 就 是 将， 在 一 段 时 间 后 ， 我 们 
都 得 需要 重新 拨 


接 上 网 ， 而 每 次 拨 接 成 功 后 取得 的 IP 可 不 见得 相同 啊 ， 如 此 一 来 IP 不 
是 一 直 在 变 吗 ? 


那么 我 不 就 需要 一 直 跟 我 上 层 DNS 主机 的 管理 员 申请 『 变 更 IP 」 吗 ? 
会 不 会 太 麻 烦 


Tr 


是 很 腑 烦 啊 ! 所 以 现在 为 了 解决 这 个 问题 ， 很 多 ISP 提供 了 所 谓 的 动态 
DNS 服务 


的 功能 ， 他 是 这 样 做 的 : 
1. Client 端 (就 是 你 啦 ) 每 次 开机 或 者 是 重新 拨 接 ， 并 取得 一 个 新 的 卫 之 


口 ， 


会 主动 回 DNS Server 端 提出 要 求 ， 希 望 Server 端 变 更 主机 名 与 IP 的 对 
应 


(这 个 步骤 在 每 个 主要 的 ISP 都 有 提供 适当 的 程序 来 提供 给 _ client 使 
用 ); 














2. Server 端 接受 Client 端的 要 求 之 后 ， 会 先 去 查询 Client 提供 的 账号 密 


若 正确 就 会 立即 修改 Server 本 身 对 于 你 的 主机 名 的 设 定 





所 以 哪 ， 每 次 我 们 取得 了 新 的 卫 之 后 ， 我 们 的 主机 名 对 应 的 IP 也 会 跟 
着 在 DNS 


系统 上 面 更 新 ， 如 此 一 来 ， 只 要 别人 知道 你 的 主机 名 ， 不 论 你 的 下 为 
何 ， 他 一 定 可 


以 连 上 你 的 主机 (因为 P 跟着 你 的 主机 而 变 ! ) 这 对 于 我 们 这 种 使 用 动 
态 卫 的 人 是 


很 有 帮助 的 ! ( 阿 ! 真是 造福 我 们 这 些 穷 百人 家 的 孩子 呀 ! ) 整个 程序 就 
有 点 像 底下 的 


图 示 ，WWW 服务 器 与 DNS 服务 器 之 间 就 有 关连 性 啦 。 
图 10.1-2、 动 态 DNS 服务 -- 客 户 端 回 服 务 器 端 发 送 更 新 要 求 
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不 过 ， 还 是 需要 注意 的 是 ， 目 前 的 主机 名 申请 很 多 是 『 需 要 钱 的 」! 如 
果 你 需要 比 


较 稳 定 的 主机 名 对 应 ”IP 的 服务 ， 那 么 花 点 钱 来 注册 还 是 必须 的 。 不 
过 ， 如 果 是 实验 性 


质 的 网 站 ， 那 么 也 是 可 以 申请 免费 的 动态 DNS 服务 喔 ! 
10.2 注册 一 个 合法 的 主机 名 


恨 据 前面 的 说 法 ， 如 果 你 只 想 要 有 合法 的 主机 名 的 话 ， 那 么 依据 你 的 IP 
是 否 固 定 


而 有 : (1) 静态 DNS 主机 名 与 (2) 动 态 DNS 主机 名 两 种 注册 方式 。 底 下 
鸟 哥 列 出 自己 


有 注册 经 验 的 网 站 提供 大 家 参考 : 
静态 DNS 主机 名 注册 : 











静态 IP 对 应 主机 名 的 注册 网 站 实在 太 多 了 ， 帮 下 是 乌 哥 有 注册 经 验 的 
网 站 : 





动态 DNS 主机 名 注册 : 


至 于 免费 的 动态 DNS 系统 主要 就 是 这 个 NO-IP 公司 提供 的 网 站 吵 ! 如 
下 连结 : 


o 国外 的 免费 DNS 系统 : http:/www.no-ip.com 
10.2.1 静态 DNS 主机 名 注册 : 以 Hinet 为 例 
静态 DNS 的 申请 方式 其 实 都 差不多 ， 都 是 需要 : 
1. 先 查 询 所 想 要 注册 的 网 域 是 否 存 在 ; 

2. 进入 ISP 去 申请 注册 你 所 想 要 的 主机 名 ; 

3. 缴费 ， 并 等 待 主机 名 被 启用 。 


我 们 以 台湾 蛮 常 见 的 Hinet 这 个 ISP 提供 的 『 个 人 网 域 ， .idv.tw」 注 册 


说 明 : 








net.giang(@hotmail.com 


whois 查询 : vbird idu,tw | Gol 


填 入 你 要 广 册 的 主 提 避 择 个 人 网 域 的 .idyv. tw 


全 英文 域名 {com twyorg twinet,tw) 
命 巾 人 域名 【idv tw) 
> 机 域 名 征 中 生 ”SN 
» 身份 确认 
> 园 幅 流 营 通 #0 衫 发 
» 全 用 卡 瓣 莫 作 业 
» 呈 TM 电 瞧 ) 潜 划 作 业 
» 口 MS 黑 动 与 查询 
» 询 别 | 密 硬 黑 动 
» 用 户 资 料 查询 / 黑 动 
» 网 域名 夭 移 朝 
» 感 理 洪 度 查询 
命中 文风 域 ( tw ,台湾 ) 


1. 登入 主 画 面 ， 并 碍 询 欲 注册 网 域 是 否 存 在 


: http://domain.hinet.net/ ， 并 在 whois 的 画面 当 






(右上 角 ) 选 择 你 想 要 注册 的 主机 名 ， 按 下 『Go」 开始 搜寻 。 
图 10.2-1、 利 用 whois 查询 欲 注 册 网 域 是 否 存在 


2. 逐步 进行 注册 


如 有 果 确 认 你 的 主机 名 没有 被 注册 挥 ， 那 么 你 束 可 以 开始 注册 了! 同样 的 
在 上 面 的 


隐 站 连结 当中 ，。 选择 [个 人 域名 | 就 可 以 开始 申请 了 ! 请 由 【域名 
请 ] 开始 


依 序 一 步 一 步 办 理 ! 这 里 不 再 说 明 了， 反正 都 是 中 文 ， ”看 的 懂得 啦 ! 
和 人 和 


图 10.2-2、 个 人 网 域 逐 步 注册 的 流程 示意 图 


3. 填写 主机 名 对 应 的 IP 


ns 
与 丁 上 征 


net.qiang@hotmail.com 


指定 型 能 说 明 : 

台湾 币 路 资讯 中 心 提 供 HosT 呈 指定 服务 tPN> 代 管 )， 但 只 有 三 部 Host 的 限 
制 ， 若 您 的 主机 数 超过 二 部 或 需要 IF 以 外 的 筷 否 [MX record 、CNAME 
record) 请 自行 染 设 定 DNS ，DNS 组 Host 型 能 扰 法 站 人 存 。 


vbird.idw tw 指定 型 能 仿 主 机 人 DNS 
DNSHost Server Name IP Address 
faiveiaiaww ol 


总 in vbird idy.tw [ol 16.44 180 


0 并 填 入 当初 注册 
时 的 主 


机 名 与 密码 ， 然 后 就 会 出 现 如 下 的 画面 了 : 
图 10.2-3、 主 机 名 与 了 对 应 的 填写 范例 


特别 的 给 他 留意 ， 因 为 我 们 没有 要 架设 DNS 主机 ， 所 以 当然 最 上 方 要 
选择 『[ 主 
机 」 的 项 目 ， “然后 你 可 以 填 入 三 部 主机 名 喔 ! 当然 ， 这 三 部 主机 名 可 
以 通通 指 


问 同 一 个 PP ， 也 可 以 不 同 ! 随 你 的 便 响 ! 需要 注意 到 的 是 ， 你 的 主机 
名 应 该 
































是 『othername.yourhost.idv.tw】 后 面 的 yourhost.idv.tw 是 不 变 的 ， 前 面 
的 


othername 则 可 以 自由 选取 呢 ! 例如 乌 哥 上 面 的 设 定 ， 后 面 均 是 


vbird.idv.tw ， 


而 前 面 的 名 称 就 可 以 让 我 自由 选择 啦 ! 


4. 等 待 DNS 启用 


J 10.2-3 当中 按 下 『 填 写 完 请 按 这 里 」 后 ， 束 等 大 启用 吧 ! 不 过 设 
定 成 了 


到 可 以 使 用 ， 其 实 需要 一 定 的 时 间 的 。 以 马 哥 为 例 ， 第 一 次 申请 之 
后 ， 大 约 过 


了 20 小 时 该 设 定 才 正确 的 局 动 呢 ! 请 耐心 等 候 啊 ! 不 要 太 着 急 哆 ! 人 人 


竺 台湾 ， 各 家 的 领域 名 注册 流程 都 差不多 ， 不 过 ， 金 额 是 有 扩 差 蜡 的 ， 
当然 ， 服 务 








也 就 有 不 同 啊 ! 鸟 哥 的 vbird.org 领域 名 则 是 在 _http://www.godaddy.com 
注册 的 喔 ! 
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Support Company 


User Login 


Login 





如 果 你 不 想 要 使 用 .idv.tw 来 注册 的 话 ， 那 么 国外 的 ISP 提供 的 DNS 也 
可 以 考虑 看 


看 说 ! 
10.2.2 动态 DNS 主机 名 注册 : 以 no-ip 为 例 


如 果 你 跟 乌 哥 一 样 使 用 ADSL 拨 接 的 方式 来 上 网 ， 这 表示 你 的 卫 应 该 
古 不 固定 的 ! 


果真 如 此 的 话 ， ” 那 想 要 用 这 样 的 网 络 环境 来 架 站 就 比较 麻烦 一 点 ! 
为 上 面 利用 Hinet 


ee IP 使 用 的 ， 你 应 该 不 会 想 要 天 天 上 去 更 新 你 
入 了 P 吧 ? 山 


时 这 个 no-ip.com 所 提供 的 免费 动态 IP 对 应 主机 名 的 服务 就 很 重要 啦 ! 
我 们 先 来 申 


请 一 个 主机 名 来 玩 玩 吧 ! 人 人 





1. 登入 主 网 页 ， 并 且 注 册 一 个 新 账号 


你 必须 要 连 上 _http:/www.no-ip.com 这 个 网 站 ， 然后 在 出 现 的 画面 当中 
的 右 


上 角 部 分 ， 选 择 『 Create _ Account 」 那个 项 目 。 不 过 ， 如 果 你 已 经 有 
no-ip 网 


站 的 注册 账号 ， 那 么 直接 跳 到 底下 第 四 步骤 去 登入 即 可 。 
图 10.2-4、no-ip 网 站 的 注册 : 新 建 账号 点 选 


2. 开始 填写 识别 数据 


由 于 局 动 账号 必须 由 no-ip 提供 一 个 注册 局 动 的 连结 ， 因 此 你 必须 要 填 
写 正确 


的 email 来 接受 局 动 码 。 整 个 注册 的 讯 奶 如 下 图 所 示 : 


net.qiang@hotmail.com 


i) About You: 





First Name: |YEm 





Last Name: | Ts 





How did you hear about us?: | FiendiColleague z| 





Zip/Postal Code: | 5386 





Intended Use?: | Home web semver 局 | 


外 Account Information: ES 


E mm ail: ldla @ grmall.c crm| 
Password: |OO00OO000OO0080 


Confirm Password: |99999999099@@ 


be Account Access: 


Security Question: | Who was you childhood heyo? 了 | 
Your Answer: |daady 


Birthday: | Tenuamy 了 | ol | [i990 


图 10.2-5、no-ip 网 站 的 注册 : 新 账号 建立 所 需 填 写 数据 
最 重要 的 是 ， 在 该 网 页 的 最 下 方 还 有 验证 码 以 及 你 必须 要 勾 选 的 


agree 





that...」 项目 才 行 咀 ! 最 后 才 点 选 [I Accept，Create my Accountj」 项 目 
噜 。 


详细 图 示 如 下 所 示 : 


net.qiang@hotmail.com 


区 .4 Terms of Service: 





[Vil agree that | will only create one free No-IP account. 


Terms of Service 


1, ACCEPTANCE OF TERMS 





No-IP.com is an Internetbased ‘Web site that offers DNS Hosting, dynamic DNS, URL Redirection, email 
hosting, domain name registration, server monitoring, and software utilities (each a “Service”" and 
collectively "Seryices) Vitahwerks Internet Solutinns LLC doinn husiness as NmIP com 


By clicking on 1Accept below you are agreeing to the Terms of Service above and the Privacy Policy. 





VBird, welcome to your No-IP! Last Login: 2011-02-14 08:48:40 


You have successfully logyed into No-IP's member section. To start using No-IP's services select an icon below or choose 
an item from the navigation above 


@ ©@ PI 号 


Manage Domains Add Domain Refer Friend Add a Host Manage Hosts 


图 10.2-6、no-ip 网 站 的 注册 : 新 账号 建立 务必 勾 选 项 目 


3. 局 用 账号 


在 你 申请 注册 一 个 新 账号 后 ， no-ip 会 发 一 封 信 给 你 ， 请 自行 参考 信件 
内 容 ， 


并 点 选 正确 的 启动 码 连结 ， 那 你 的 账 吕 就 能 够 启动 ， 此 时 请 加 
10.2-4 去 ， 





CC 
RR 
A 
5 
pa 
O 
局 


针对 你 的 email(username)/ 密 码 (password) 填写 溉 当 ， 束 外 


4. 登入 no-ip 且 设 定 主机 名 与 IP 的 对 应 


2 你 会 看 到 有 后 像 抵 下 的 图 示 ， 后 下 残 准 
来 处 


理 你 主机 名 与 IP 的 对 应 数据 了 : 


net.qiang@hotmail.com 


Hostname Information 











Hostname:p) vbiritsai | no-ip .org 可 [7 
] eg ost 网 © DNS Host (Round Robin) © DNS Alias (CNAM @ 
© he 
3 
IP Address: [140.116.44.180 < 4 2 & 
Assignto Group: | -No Group - 同 区 Configure Groups 9 
Enable Wildcard: Wildcards are a Plus /Enhanced feature. Uporade Now [2 


+ Accept Mailfor your Domain 
Let No-IP do the dirty work. Setup POP or forwarding for your name. 








Mail Options 

MX Record Si MX Priority 

Enterthe name of op exchangers (mx records) as hostnames not IP addresses 

| vbiritsai no-ip org i 了 | & 








Ifyou would like a more MX records, please upyrade to No-IP Plus or Enhnanced. le 


图 10.2-7、 登 入 NO IP 网 站 后 的 示意 图 





上 图 的 重点 在 于 『Add a Host (新 增 一 个 主机 名 )」 及 『Manage Hosts ( 管 
理 主 


机 名 )j 两 者 ， 由 于 我 们 都 还 没有 主机 名 的 设 定 ， 因此 首先 就 使 用 Add 


a Host 来 
新 增 一 笔 主机 名 吧 ! 按 下 那个 图 示 ， 之 后 就 会 出 现 底 下 的 画面 : 
图 10.2-8、 新 增 一 个 主机 名 与 IP 对 应 的 方式 
主要 填写 的 内 容 为 : 
1. 你 想 要 的 主机 名 ; 
2. No IP 网 站 提供 的 领域 名 ， 与 上 个 名 称 组 合成 完整 的 主机 名 ; 
3. 选择 单一 主机 的 IP 对 应 ; 
4. 填写 该 主机 名 对 应 的 正确 卫 为 何 (后 续 可 以 透 过 程序 直接 修改 ， 这 
里 随便 填 也 没关系 ) 
只 与 mail server 有 关 ， 所 以 写 不 写 都 无 所 谓 ， 不 过 ， 建 议 填写 自 
己 的 主机 名 即 可 
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SSL Certificates 





DNS Hosting Domain Registration Mail Monitoring 










@ Hosts/Redirects 


Manage Hosts 





+ Add Haost 


1 


+ Manage Hosts 
+ Manage ES Current Hosts: 1 of5 Need More Hosts? Enhanc' 


+ Download Client 

+ Upgrade to Enhanced Host IP/URL 
= 二 @ Hosts By Domain 

了 Need redundancy 

~ foryour mail server? no-ip.org 





vbirdtsaino-ip,org 140.116.44.180 


6. 若 上 述 数据 都 正确 ， 按 下 Create Host 即 可 建立 成 功 。 如 果 该 主机 
屏幕 会 出 现 警 告 讯 息 ， ”此 时 请 再 选 填 另 外 的 主机 


吧 ! 


如 果 一 切 都 没有 问题 的 话 ， 应 该 就 会 出 现 如 下 所 示 的 图 示 。 未 来 如 果 你 
想 要 更 新 


ee 除 或 者 是 新 增 主 机 名 的 话 ， ” 束 透 过 下 图 的 示意 流程 来 处 理 即 
可 。 且 


下 图 你 也 可 以 知道 ，NO IP 有 提供 5 个 免费 的 主机 名 给 你 使 用 喔 ! 真是 
太 棒 了 了 ! 


如 果 你 想 要 维护 相关 数据 ， 就 使 用 『 Manage Hosts 」 按 钮 即 可 处 理 
了 














图 10.2-9、 主 机 名 处 理 完 毕 与 维护 的 示意 画面 


5. 设 定 上 自动 更 新 主机 名 与 IP 的 对 应 





2 或 者 是 重新 拨 接 取得 一 个 新 的 IP 后 ， 我 们 都 要 登 
no-ip 


网 站 来 修改 的 话 ， 那 就 太 没 有 效率 了 ! 所 以 no-ip 提供 一 个 好 用 的 客户 
端 程序 


给 系统 管理 员 使 用 ， 你 可 以 在 no-ip 官网 右上 方 的 『Download」 处 选择 
相关 的 


档案 。 该 网 站 目前 提供 给 Linux, Windows 与 MAC 等 系统 使 用 的 程序 ， 
非常 浪 


亲 我 们 当然 是 选择 Linux 那个 项 目 啊 ! 请 自行 下 载 并 且 将 该 程序 移动 
到 


Linux 系统 上 吧 ! 整个 安装 与 启用 的 流程 式 这 样 的 : 
#1. 编译 与 安装 : 

[root@www ~]# wget \ 

> http:/www.no-ip.com/client/linux/noip-duc-linux.tar.gz 
net.qiang(Ohotmail.com 

[root@www ~]# cd /usr/local/src 

[root@www src]# tar -ZXvf /root/noip-duc-linux.tar.gz 


[root@www src]# cd noip-* 


# 注意 一 下 ， 这 个 目录 里 面 有 个 文件 名 为 README.FIRST 的 档案 ， 务 
必 察 看 一 


下 内 容 ! 
[root@www noip]# make 


[root@www noip]# make install 





这 样 会 将 主 程序 安装 在 /usr/local/bin/noip2 而 主 参数 档 放 在 


# /usr/local/etc/no-ip2.conf 当中 ! 然后 你 必须 要 开始 回答 一 些 问题 : 





Please select the Internet interface from this list. 

By typing the number associated with it. 

0 eth0 

1 eth1 

0 <== 因 为 乌 哥 的 主机 对 外 使 用 eth0 接口 

Please enter the login/email string for no-ip.com kiki@gmail.com 


Please enter the password for user kiki@gmail.com' *** 


# 上 面 这 两 个 是 你 刚刚 注册 时 所 填写 的 email 与 密码 吗 ! 





Only one host [vbirdtsai.no-ip.org] is registered to this account. 
It will be used. 

Please enter an update interval:[30] 

Do you wish to run something at Successful update?[N] (y/N)n 
mV /tmp/no-ip2.conf /usr/local/etc/no-ip2.conf 

# 重点 在 此 ! 刚刚 你 做 的 配置 文件 被 放 到 上 面 这 个 档案 中 了 ! 


0 
古 很 


简单 啦 ! 
# 2. noip2 的 程序 使 用 : 


[root@www ~]# /usr/local/bin/noip2 


# 不 要 怀疑 ! 这 样 输入 后 ， 你 在 no-ip 上 面 注册 的 主机 名 ， 

# 就 开始 可 以 自动 的 产生 对 应 了 ! 融 这 么 简单 ! 

[root@www ~]# noip2 [-CS] 

选项 与 参数 : 

-C : 重新 设 定 参 数 ， 亦 即 设 定 刚 刚 我 们 上 面 输入 粗 体 字 的 噬 噬 ! 
如 果 你 有 两 个 以 上 的 no-ip 主机 名 时 ， 融 一 定 需要 使 用 noip2 -C 
来 重新 设 定 参数 档案 ! 





net.giang(@hotmail.com 


0 
0 


-S ; 将 目前 的 noip2 的 状况 显示 出 来 ! 

[root@www ~|]# noip2 -S 

1 noip2 process active. 

Process 2496, started as /usr/local/src/noip-2.1.9-1/noip2, (version 
2.1.9) 

Using configuration from /usr/local/etc/no-ip2.conf 

Last IP Address set 140.116.44.180 

Account kiki@gmail.com 

configured for: 


host vbirdtsai.no-ip.org 


Updating every 30 minutes via /dev/eth0 with NAT enabled. 


嘿嘿 ! 这 样 就 成 功 了 ! 而 且 每 30 分 钟 noip2 可 以 自动 的 去 主 网 站 上 面 
下 和 更 


新 呢 ! 真是 很 不 错 ! 那 如 果 想 要 一 开机 就 局 动 noip2 呢 ? 这 样 做 即 可 : 
#3. 设 定 开机 局 动 : 





[root@www ~]# vim /etc/rc.d/rc.local 
# 加 入 底下 这 一 行 : 
/usr/local/bin/noip2 
10.3 重点 回顾 
主机 名 的 目的 在 辅助 人 们 记忆 TCP/IP 的 IP 数值 ; 
主机 名 与 卫 的 对 应 ， 由 早期 的 /etc/hosts 变更 为 DNS 系统 来 记录 


合法 的 主机 名 必须 要 透 过 合法 授权 后 ， 才 能 够 在 Internet 上 面 完整 的 
生效 


人 IP 对 应 外 ， 知 是 不 固定 卫 的 联机 模式 ， 可 以 透 
过 去 
态 DNS 服务 ， 来 达成 非 固定 卫 永远 指 问 同一 个 主机 名 的 任务 。 
10.4 本 章 习 题 

请 简易 说 明 /etc/hosts 的 用 途 ; 


I PP 的 解析 的 ， 目 前 比较 常用 在 内 部 
人 














网 域 的 名 称 解 机 上 ， 可 以 加 快 内 部 网 域 的 反 碍 喔 ! 
请 说 明 『 合 法 授权 的 主机 名 需要 做 什么 ? 


net.qiang(Dhotmail.com 


0 


如 果 想 要 合法 授权 ， 就 需要 向 上 层 DNS 主机 『 注 册 1 才 行 ! 而 且 还 要 
上 层 DNS 


主机 管理 员 愿 意 将 领域 名 的 解析 权限 授权 给 你 啊 ! 
什么 是 动态 DNS 系统 ? ( 仅 说 明 client 端 ) 


因为 我 们 的 Client 拨 接 时 ， 得 到 的 IP 都 不 是 固定 的 ， 所 以 无 法 以 DNS 


An 


统 进行 固定 卫 对 应 主机 名 的 工作 ! 此 时 束 需 要 动态 DNS 系统 了 ! 以 
DNS 主 


四 应 IP 的 机 制 ， 可 以 让 我 们 的 不 同 卫 对 应 到 
| 


主机 名 响 ! 
如 果 你 使 用 adsl 拨 接 来 上 网 设 定 服务 器 ， 那 么 该 申请 哪 一 类 型 的 主机 
? 
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因为 我 是 以 ADSL 上 网 拨 接 ， 所 以 IP 是 不 固定 的 ， 此 时 需要 申请 动态 
DNS 


主机 的 主机 名 ， 例 如 no-ip.org 等 等 ! 
10.5 参考 数据 与 延伸 阅读 








国外 的 免费 DNS 系统 : http:/www.no-ip.com 
2002/08/05: 第 一 次 完成 日 期 ! 
2003/08/26: 修改 篇 名 、 增 加 一 no-ip 的 设 定 方 式 ! 
2006/09/15: 将 旧 的 文章 移动 到 此 处 。 
2011/02/09: 将 基于 CentOS 4.x 所 写 的 文章 移动 到 此 处 


2011/02/15: 由 于 noip 网 站 页 面 有 变更 ， 作 了 一 些 图 片 的 重新 处 理 ， 其 
他 则 是 大 同 小 
二 


2011/07/23: 将 基于 CentOS 5.x 的 版 本 移动 到 此 处 
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第 三 部 分 : 局 域 网 络 内 常见 的 服务 器 架设 


在 开始 实际 Linux 的 网 络 服务 句 架 设 之 前 ， 切 记 前 面 两 篇 的 内 容 都 已 经 
阅读 过 ， 


并 且 已 经 强化 您 主机 的 网 络 安 全 后 ， 才 开始 染 设 吧 ! ”老实 说 ， 人 台湾 中 
小 企业 非常 多 ， 


企业 人 员 常 常 需 要 共享 一 些 数据 ， 这 些 数据 当然 不 会 传送 到 因特网 上 ， 
而 是 在 内 部 局 域 


网 络 上 传输 的 。 ”因此 ， 局 域 网 络 内 部 的 服务 器 架设 量 可 能 比 我 们 因 特 
网 上 面 的 服务 器 


还 要 多 呢 ! 所 以 说 ， 我 们 先 来 了 解 一 下 局 域 网 络 内 常见 的 服务 如 吧 。 


在 这 一 篇 当中 ， 我 们 主要 会 介绍 管理 服务 器 用 的 联机 服务 器 如 ssh, 
xdmcp, VNC， 











xrdp 等 服务 ， 然 后 针对 网 络 参数 管理 部 份 来 介绍 DHCP 服务 器 ， 在 针 
对 文件 服务 器 的 


NFS, SAMBA 等 服务 ， 再 介绍 与 NFS 相关 性 很 强 的 账号 同步 的 NIS 服 
务 器 ， 然 后 介绍 


两 个 常见 的 服务 器 ， ”包括 时 间 同 步 的 ”NTP 与 网 络 监 控 能 力 较 佳 的 
Proxy 服务 器 ， 最 


终 再 讲 一 个 磁盘 不 够 时 的 iSCSI 仿真 器 吧 ! 
net.qiang(Ohotmail.com 

省 十 一 下， 这 人才 是 SSH /XDMCP / VNC / RDP 
最 近 更 新 日 期 : 2011/11/24 


维护 网 络 服 务 避 最 简单 的 方式 不 是 跑 去 实体 服务 器 前 面 登入 ， 而 是 透 过 
远程 联机 服务 器 联机 功能 来 登入 


主机 ， 然后 再 来 进行 其 他 有 的 没 的 维护 就 是 了 。Linux 主机 几乎 都 会 提 
供 sshd 这 个 联机 服务 ， 而 且 这 


个 服务 还 是 主动 进行 数据 加 密 的 ! ”讯息 在 网 络 上 面 跑 安 全 多 了 。 同 时 
我 们 还 能 透 过 rsync 这 个 指令 以 


sshd 信道 来 达成 异地 数据 备 援 的 功能 哩 ! 相当 不 赖 。 如 果 想 要 利用 图 
形 接口 登入 ， 那 么 默认 的 Xdmcp 配 


合 VNC 束 能 够 使 用 图 形 接口 在 网 络 的 另 一 端 登 入 你 的 服务 器 ! 如 果 你 
习惯 使 用 Windows 的 远程 桌面 ， 


那么 XRDP 也 不 要 放 过 嘿 ! 


11.1 远程 于 








11.1.1 什么 是 远程 四 和 


11.1.2 有 了 哪些 可 供 登 入 的 类 型 ? 





ger: _ vncserver, 








1 J 远程 统 : XRDP 服务 占 


11.6 SSH 8 的 进 阶 应 


11.6.1 局 动 ssh 在 非 正 规 埋 口 ort 22 
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11.1 远程 联机 服务 器 
远程 联机 服务 器 对 我 们 来 说 ， 可 是 一 项 很 有 用 的 工具 啊 ! 他 可 以 让 我 们 


更 万 便 的 写 


理 主机 。 不过， 方便 归 方 便 ， 但 开放 全 世界 都 可 以 尝试 登入 你 的 主机 
并 不 个 好 主意 ， 





因为 可 能 会 有 安全 性 的 问题 响 ! ”所 以 本 章 才 要 特别 强调 一 下 这 个 玩意 
儿 啊 ! 


11.1.1 什么 是 远程 联机 服务 器 


首先 ， 我 们 来 了 解 一 下 ， 什 么 是 『 远 程 联 机 服务 器 」? ”这 个 东西 的 功 
能 为 何 ? 我 


想 ， 你 应 该 已 经 听 过 ， 一 部 开放 到 因特网 上 的 服务 器 ， 基 本 上 ， 它 可 以 
个 需要 屏幕 、 键 


各、 鼠标 等 等 的 周边 配备 ， 只 要 有 基本 的 主板 、CPU、RAM、 硬 往 再 
加 上 一 块 好 一 点 的 


网 络 卡 ， 并 且 连 上 因特网 ，” 那 这 部 主机 就 能 够 提供 你 有 需要 的 网 络 服 
务 了 。 但 如 果 你 


需要 重新 设 定 这 部 主机 ， 该 如 何 登 入 主机 取得 类 似 bash 的 接口 来 操纵 
与 进行 修改 呢 ? 


那 就 得 要 透 过 联机 服务 器 的 服务 了 。 


是 的 ! 你 猜 对 啦 ， 远 程 联 机 服务 堪 在 提供 你 由 远程 透 过 文字 或 图 形 接口 
的 方式 来 登 
入 系统 ， 让 你 在 远程 的 工作 机 前 面 登入 Linux 主机 以 取得 可 操控 主机 之 
接口 (shell)， 


而 登入 后 的 操作 感 党 上 就 像 坐 在 系统 前 面 一 样 ! ”所 以 啦 ， 你 当然 不 需 
要 远程 网 络 服务 


器 的 键盘 、 鼠 标 、 屏 幕 等 等 。 你 只 要 工作 机 可 以 正常 联机 到 远程 主机 即 
可 啊 。 


以 乌 哥 个 人 为 例 ， 目 前 乌 哥 管理 十 几 部 的 Unix-Like 主机 ， 这 些 主 机 都 
不 放 在 同 


一 个 地 方 ， 分 布 在 南台 湾 各 处 ! ”那么 当 有 新 的 软件 的 漏洞 被 及 布 ， 或 


者 是 需要 进行 一 














些 额 外 的 设 定 的 时 候 ， 和 是 否 马 哥 本 人 一 定 要 到 现场 吗 ? 当然 不 需要 ， 
只 要 透 过 网 络 联 


机 到 该 主机 上 面 ， 就 可 以 进行 任何 工作 了 ! 真 的 就 好 像 在 主机 前 面 工作 
一 般 的 轻松 愉快 ! 


人 和信! 这 就 是 远程 联机 服务 器 啦 ! 





Tips: 
很 多 人 会 说 ， 我 用 FTP 也 要 输入 账号 密码 来 登入 啊 ? 那 与 这 个 章节 
谈 到 的 登入 有 何不 同 ? 最 大 的 不 同 在 于 取得 的 shell 能 进行 的 工 
作 啦 ! 用 ssh/telneW/VNC 等 方式 取得 的 文字 或 图 形 shell 能 够 进 
行 很 多 系统 管理 的 任务 ， 与 单纯 的 FTP 能 进行 的 工作 当然 不 同 ! 














联机 服务 器 的 功能 作用 之 一 : 分 享 Unix Like 主机 的 运算 能 
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0 
当 你 的 工作 需要 使 用 到 Linux 强大 的 程序 语言 编译 功能 时 ， 那 么 你 一 定 
缘 开 | 


坝 姑 


Linux 对 吧 ! 而 且 最 好 是 指令 周期 快 一 点 的 主机 ， 这 个 时 候 你 可 以 将 你 
研究 室 最 快 的 


那 一 部 主机 开放 出 来 ， 设 定 一 下 远程 联机 服务 占 ， 让 你 的 学 生 啦 ， 或 者 
是 研究 室 的 同仁 


啦 ， “可 以 透 过 这 部 机 器 帮 他 们 进行 研究 的 工作 ， 这 个 时 候 ， 你 的 主机 
就 可 以 让 多 人 进 


行 分 享 Linux 运算 的 功能 啦 ! 








举例 来 说 ， 乌 哥 与 昆山 还 有 长 栾 大 学 的 老师 、 同 学 们 组 建 了 一 组 服务 器 
等 级 的 丛 集 


架构 计算 机 (PC cluster)， 目前 我 们 在 该 计算 机 上 面 跑 MM5 、Models3 


等 大 气 与 空 


气质 量 模式 ， 要 在 这 样 的 架构 底下 跑 数值 模式 的 原因 ， ”主要 就 是 考虑 
运算 能 力 。 那 会 


使 用 到 该 组 计算 机 的 有 好 多 人 ， 难 道 大 家 都 在 挤 在 一 部 屏幕 前 面 工作 ? 
当然 不 需要 啦 ! 


这 时 候 束 是 远程 联机 服务 器 的 服务 范围 哆 ! 


但 是 否 每 一 部 连 到 ”Intemet 上面 的 主机 都 应 该 要 开放 远程 联机 的 功能 
呢 ? 其 实 


并 不 尽 然 ，“ 还 是 需要 针对 你 的 主机 来 进行 规划 的 ， 我 们 撒 下 分 服务 器 
与 工作 站 来 说 明 : 











服务 器 类 型 (Server) : 有 限度 的 开放 联机 
在 一 般 对 因特网 开放 服务 的 服务 器 中 ， 由 于 开放 的 服务 可 能 会 有 较为 重 


要 的 信息 ， 


而 远程 联机 程序 连 进 主机 之 后 ， ”可 以 进行 的 工作 又 太 多 了 (几乎 就 像 在 
主机 前 面 工作 一 


般 ! )， 因 此 服务 器 的 远程 联机 程序 通常 仅 针对 少 部 分 系统 维护 者 开放 
而 已 ! 除非 必要 ， 


售 则 Server 类 型 的 主机 还 真 的 不 建议 开放 联机 的 服务 呢 ! 


以 乌 哥 为 例 ， 我 的 主机 提供 了 我 们 研究 室 使 用 Mail 与 Internet 上 面 的 
WWW 服 


务 ， 如 果 还 主动 提供 远程 联机 的 话 ， ”那么 万 一 不 小 心 被 入 侵 ， 那 可 就 








伤 脑筋 了 ! 因此 ， 


鸟 哥 仅 开放 『 很 小 部 分 的 网 域 ] 让 系统 管理 员 连 进来 ， 其 他 来 源 的 IP 
一 律 抵挡 ! 不 


许 使 用 远程 联机 的 功能 呢 ! 


工作 站 类 型 (Workstation) : 只 对 内 网 开放 


所 谓 的 工作 站 束 是 不 提供 因特网 服务 的 主机 ， 仅 提供 大 量 的 运算 能 力 给 
使 用 者 。 既 


然 不 提供 因特网 的 服务 ， 那 你 还 开 联机 服务 器 干 嘛 ? 不 是 啦 ! 像 前 面包 
哥 提 到 的 PC 


cluster 大 量 运 算 的 整 组 计算 机 ， 也 可 以 称 之 为 工作 站 ， 因 为 它 没有 提供 
和 常见 的 网 络 


服务 嘛 ! 不 过 必须 要 提供 给 使 用 者 登入 的 权限 ， 这 样 大 家 才 用 的 到 运算 
功能 啊 ! 此 时 


人 
吃 ! 


11.1.2 有 哪些 可 供 登入 的 类 型 ? 
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六 
(YO ss 
那么 目前 远程 联机 服务 器 的 主要 类 型 有 哪些 ”如 果 以 登入 的 联机 界面 来 
分 类， 基本 








上 有 文字 接口 与 图 形 接口 两 种 : 
文字 接口 明码 : telnet rsh 等 为 主 ， 目 前 非常 少 用 ; 
文字 接口 密码 : ssh 为 主 ， 己 经 取代 上 述 的 telnet, rsh 等 明码 方式 ; 
图 形 接口 : Xdmcp, VNC, RDP 等 较为 常见 


0 主要 有 以 『 明 码 」 传 送 数据 的 telnet 服 
磺 ， 及 





以 加 密 技术 进行 数据 加 密 再 传送 的 SSH 服务 器 ! 虽然 telnet 可 以 支持 的 
客户 端 软 件 


比较 多 ， 不 过 由 于 它 是 使 用 明码 来 传送 数据 ， 你 的 数据 很 容易 遭 到 有 心 
人 士 的 搬 取 ! 所 
以 近来 我 们 都 呼吁 大 家 多 使 用 SSH 这 一 种 联机 方式 


至 于 网 形 接口 的 联机 服务 器 ， 比 较 简 单 的 有 Xdmcp (X Display Manager 


Control 


Protocol)， 架 设 Xdmcp 很 简单 ， 不 过 客户 端的 软件 比较 少 。 另 外 一 天 
目前 很 常见 的 

图 形 联机 服务 器 ， 就 是 VNC (Virtual Network Computing)， 透 过 VNC 
server/client 


软件 来 进行 连接 。 如 果 你 想 要 使 用 类 似 Windows 的 远程 更 面 联 机 ， 该 
功能 使 用 的 是 RDP 








(Remote Desktop Protocol)， 那 你 可 得 要 架设 RDP 服务 器 才 行 。 

Tips: 

图 形 接口 最 大 的 优点 是 『 图 形 」 啊 ! 不 过 ， 因 为 是 透 过 图 形 来 传送 ， 
传输 的 数据 量 相当 的 大 ， 所 以 速度 与 安全 性 都 有 待考 虑 。 因 此 ， 我 
们 仅 建议 你 将 图 形 接口 的 远程 登录 服务 器 开放 在 内 部 网 域 LAN) 
就 好 了 ! 


数据 传送 的 明码 与 密码 


什么 是 『 明 码 」 与 『 加 密 」 的 数据 封包 传送 模式 呢 ? 为 什么 telnet 使 用 
明码 束 比 


较 不 安全 ? 所 谓 的 明码 就 是 : 「 当 我 们 的 数据 封包 在 网 络 上 传输 时 ， 
该 数据 封包 的 内 


容 为 数据 的 原始 格式 」， 也 就 是 说 ， 你 使 用 telnet 登入 远程 主机 时 ， 不 


是 得 要 输入 


账号 密码 吗 ? 那 你 的 账号 密码 是 以 原本 的 数据 格式 传输 ， “所 以 如 果 被 
类 似 tcpdump 之 


类 的 监听 软件 揪 取 数据 ， 那 你 的 帐 密 就 有 可 能 被 历 取 啦 ! 
所 以 啦 ， 万 一 你 的 数据 封包 里 面 含有 信用 卡 数据 、 密 码 、 喘 份 确认 等 重 


要 信息 时 ， 


是 否 很 危险 响 ? ”因此 ， 目 前 我 们 通常 都 希望 使 用 可 以 将 这 些 在 网 络 上 
面 跑 的 数据 加 密 


的 技术 ， 以 增加 数据 在 Internet 上 面 传送 的 安全 性 啊 ! 











Tips: 


说 ssh 比较 安全 ， 其 实 是 透 过 ssh 信道 传输 讯 上 县 时 ， 该 讯 上 县 在 网 
络 上 面 比较 安全 ， 因 为 数据 是 加 密 过 的 ， 即 使 被 历 取 ， 对方 可 能 
不 会 知道 数据 内 容 为 何 ， 因 此 信息 比较 安全 。 但 这 不 代表 ssh 这 个 
通讯 协议 就 比较 安全 喔 ! 两 者 意义 不 同 ! 
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由 于 明码 传输 的 telnet, rsh 等 联机 服务 器 已 经 被 ssh 取代 ， 并 且 在 一 些 
实际 应 


用 上 已 经 很 少 看 到 telnet 与 rsh 了 ， 因此 本 章 在 文字 接口 上 着 重 于 介绍 
ssh 的 应 


用 ， 包 括 以 rsync 籍 由 ssh 通道 来 进行 异地 备 援 的 任务 等 等 。 至 于 图 形 
接口 则 会 介绍 


Xdmcp，VNC 与 RDP 喔 ! 因为 很 多 工作 站 用 户 需 要 显示 他 们 在 工作 站 
实 作 后 的 图 形 呈 现 ， 


因此 这 部 分 也 是 很 重要 的 呢 ! 
11.2 文字 接口 联机 服务 器 : SSH 服务 器 


由 于 先前 的 远程 联机 服务 器 大 多 是 明码 ， 而 且 协 议 也 有 些 资 安 问题 ， 
此 后 来 束 有 

SSH 这 个 协议 来 取代 上 述 这 些 噬 吃 。 那么 SSH 是 什么 呢 ? 它 有 什么 特 
异 功能 ? 简单 的 


来 说 ，SSH 是 Secure SHell protocol 的 简写 (安全 的 壳 程 序 协 议 )， 它 可 
以 透 过 数据 














封包 加 密 技 术 ， 将 等 竺 传输 的 封包 加 蜜 后 再 传输 到 网 络 上 ， ”因此 ， 数 
据 讯 奶 当 然 就 比 


较 安 全 吵 ! 这 个 SSH 可 以 用 来 取代 较 不 安全 的 finger, R Shell (Crcp， 


rlogin, rsh 


等 ), talk 及 telnet 等 联机 模式 。 底 下 我 们 将 先 人 简介 一 下 SSH 的 联机 模 
式 ， 来 说 明 


为 什么 SSH 的 数据 讯息 会 比较 安全 呢 ! 
特别 注意 : 这 个 SSH 协议 ， 在 预 设 的 状态 中 ， 本 身 就 提供 两 个 服务 器 





1. 一 个 就 是 类 似 telnet 的 远程 联机 使 用 shell 的 服务 器 ， 亦 即 是 俗称 的 
SSsh ; 

2. 为 一 个 束 是 类 似 FTP 服务 的 sftp-server ! 提供 更 安全 的 FTP 服务 。 
11.2.1 联机 加 密 技术 简介 


什么 是 『 数 据 加 密 」 呢 ? 简单 的 说 ， 束 是 将 人 们 看 的 懂得 原始 电子 数 


运算 ， 让 这 些 数 据 变 成 没有 意义 的 乱码 (至 少 对 人 类 来 说 )， 然 后 再 让 这 
个 噬 略 在 网 络 


上 面 传 输 ， 而 当 用 户 想 要 奉 阅 这 个 数据 时 ， 再 透 过 解密 运算 ， ”将 这 些 
噬 吧 反 推出 原始 


的 电子 数据 。 由 于 这 些 数 据 已 经 被 重新 处 理 过 ， 所 以 ， 即 使 数据 在 因 特 
网 上 被 cracker 


监听 而 筋 取 ， 他 们 也 不 容易 束 推 算得 出 来 原始 资料 内 容 的 。 
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二 请 的 公 狗 >» 用 巨 端的 私 锦 也 
间 阴 老 的 私 第 | 僻 服 涯 的 公 钢 





Tips: 

岛 哥 常常 说 ， 加 密 机 制 有 点 像 是 两 个 人 之 间 的 火星 语 对 话 啦 ! 如 果 
你 跟 你 的 朋友 约定 好 使 用 你 们 制订 的 某 种 特别 语言 ， 这 个 语言 只 对 
你 们 两 个 有 意义 。 那 么 当 你 们 两 人 讲话 时 ， 在 劳 边 的 人 听 到 的 只 是 
一 堆 没 有 意义 的 声音 ， 因 为 他 们 听 不 懂 啊 ! 即使 路 人 将 你 的 声音 : 
下 来 ， 只 要 他 不 知道 你 们 的 特殊 用 语 ， 那 他 惑 不 可 能 了 解 你 们 对 话 
的 内 容 虽 。 


加 解密 运算 的 机 制 与 技术 非常 多 ， 我 们 这 里 不 去 讨论 复杂 的 理论 问题 ， 
只 谈 对 我 们 比较 

有 关 的 一 些 加 解密 概念 而 已 。 ”目前 种 见 的 网 络 封包 加 密 技 术 通 党 是 糊 
由 所 谓 的 『 非 对 


称 密 钥 系统 】」 来 处 理 的 。 主要 是 透 过 两 把 不 一 样 的 公 钥 与 私 钥 (Public 


and Private 








Key) ”来 进行 加 密 与 解密 的 过 程 。 由 于 这 两 把 钥匙 是 提供 加 解密 的 功 
用 ， 所 以 在 同一 个 


方 回 的 联机 中 ， 这 两 把 钥匙 当然 是 需要 成 对 的 ! 它 的 功用 分 别 如 下 : 
公 钥 (public key): 提供 给 远程 主机 进行 数据 加 密 的 行为 ， 也 就 是 说 ， 


+ 


都 能 取得 你 的 公 钼 来 将 数据 加 密 的 意思 ; 


可 (private key): 远程 主机 使 用 你 的 公 钥 加 密 的 数据 ， 在 本 地 端 就 
能 


使 用 私 钥 来 进行 解密 。 由 于 私 钥 是 这 么 的 重要 ， ”因此 私 钥 是 不 能 够 外 


流 的 ! 只 
能 保护 在 自己 的 主机 上 。 


由 于 每 部 主机 都 应 该 有 自己 的 密 钥 ( 公 钥 与 私 钥 )， 且 公 钥 用 来 加 密 而 私 
钥 用 来 解 


密 ， ”其 中 私 钥 不 可 外 流 。 但 因为 网 络 联 机 是 双 同 的 ， 所 以 ， 每 个 人 应 
该 都 要 有 对 方 的 


「 公 钥 」 才 对 ! 那 如 果 以 ssh 这 个 通讯 协议 来 说 ， 在 客户 站 与 服务 右 站 
的 相对 联机 方 


同上 ， 应 该 有 如 下 的 加 密 动作 : 
图 11.2-1、 公 钥 与 私 钥 在 进行 数据 传输 时 的 角色 示意 


如 上 图 所 示 ， 我 们 如 果 站 在 客户 问 的 角度 来 看 ， 那 么 ， 首 先 你 必须 要 取 
得 服务 器 站 


的 公 钥 ， 然 后 将 自己 的 公 钥 发 送 给 服务 器 端 ， 最终 在 客户 端 上 面 的 密 
钥 会 是 【服务器 


的 公 钥 加 上 客户 端 我 目 己 的 私 钥 」 来 组 成 的 。 


法 








Tips: 
数据 加 密 的 技术 真 的 相当 的 多 ， 也 各 有 其 优 缺 点 ， 有 的 指令 周期 快 ， 
但 是 不 够 安全 ;， 有 的 够 安全 ， 但 是 加 密 / 解 密 的 速度 较 慢 ~ 目前 在 


SSH 使 用 上 ， 主 要 是 利用 RSA/DSA/Diffie-Hellman 等 机 制 喔 ! 
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-i.ssh/known_hosts 


芷 开始 赴 算 用 户 成 对 的 公私 箱 况 料 


‘ete/sshissh host * 


目前 SSH 的 协议 版 本 有 两 种 ， 分 别 是 version 1 与 version 2 ， 其 中 V2 
由 于 加 上 


了 联机 检测 的 机 制 ， “可 以 避免 联机 期 间 被 插入 恶意 的 攻击 码 ， 因 此 比 
V1 还 要 更 加 的 


安全 。 所 以 哆 ， 请 尽量 使 用 V2 版 本 即 可 ， 不 要 使 用 V1 哆 。 无 论 是 哪 
种 版 本 ， 都 还 


是 需要 公私 钥 加 密 系统 的 ， 那 么 这 些 公 钥 与 私 钥 是 如 何 产生 的 呢 ? 底下 
我 们 就 来 谈 一 谈 


啦 ! 


SSH 的 联机 行为 简介 


ssh 服务 器 问 与 客户 端的 联机 步骤 示意 为 下 图 ， 全 于 步骤 说 
明 如 后 : 


图 11.2-2、ssh 服务 器 端 与 客户 端的 联机 步骤 示意 图 
1. 服务 器 建立 公 钥 档 : 每 一 次 启动 sshd 服务 时 ， 该 服务 会 主动 去 找 


/etc/ssh/ssh_host* ”的 档案 ， 知 系统 刚刚 安装 完成 时 ， 由 于 没有 这 些 公 针 
档案 ， 


因此 sshd 会 主动 去 计算 出 这 些 需 要 的 公 钥 档案 ， 同 时 也 会 计算 出 服务 
俐 目 己 需 


要 的 私 钥 档 ; 
2. 客户 端 主动 联机 要 求 : 大 客户 端 想 要 联机 到 ssh 服务 器 ， 则 需要 使 用 


适当 
的 客户 端 程序 来 联机 ， 包 括 ssh, pietty 等 客户 端 程序 ; 
3， 服务 器 传送 公 钥 档 给 客户 器 : ”接收 到 客户 器 的 要 求 后 ， 服 务 口 便 将 


第 一 个 








步 又 取得 的 公 钥 档案 传送 给 客户 并 使 用 (此 时 应 是 明码 传送 ， 反 正 公 钥 


be 


本 来 就 是 
给 大 家 使 用 的 ! ); 


4. 客户 端 记录 / 比 对 服务 器 的 公 钥 数 据 及 随机 计算 自己 的 公私 钥 : 若 客 
户 端 第 


00 
目录 内 了 





~/.ssh/known_hosts 。 和 若是 已 经 记录 过 该 服务 器 的 公 钥 数据 ， 则 客户 端 会 
去 比 


人 则 开 


始 计 








户 端 上 自己 的 公私 钥 数 据 ; 


5, Ue 端的 公 钥 数据 到 服务 费 端 ， “用户 将 目 己 的 公 钥 传送 给 服务 
器 。 上 山 


时 服务 器 : 
[具有 服 


0 ， 你 会 看 到 ， 在 此 次 联机 的 服务 器 
与 客户 端 


的 密 钥 系统 ( 公 钥 + 私 钥 ) 并 不 一 样 ， 所 以 才 称 为 非 对 称 式 密 钥 系统 喔 。 


『 具 有 服务 器 的 私 钥 与 客户 端的 公 钥 」， 而 客户 端 则 是 : 
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6. 开始 双向 加 解密 : (1) 服务 器 到 客户 端 ， 服务 器 传送 数据 时 ， 拿 用 户 
的 公 铀 


加 密 后 送出 。 客 户 端 接收 后 ， 用 自己 的 私 钥 解 密 ; (2) 和 客户 并 到 服务 
器 : 客户 站 

传送 数据 时 ， 拿 服务 器 的 公 钥 加 密 后 送出 。 服 务 需 接收 后 ， 用 服务 器 的 
私 钥 解密 。 

在 上 述 的 第 4 步骤 中 ， 客 户 站 的 密 钥 是 随机 运算 产生 于 本 次 联机 当中 
的 ， 所 以 你 

这 次 的 联机 与 下 次 的 联机 的 密 钥 可 能 束 会 不 一 样 昱 ! ”此 外 在 客户 站 的 
用 户 家 目录 下 的 


~/.ssh/known_hosts 会 记录 曾经 联机 过 的 主机 的 public key ， 用 以 确认 我 
们 是 连接 





上 正确 的 那 部 服务 器 。 
例题 : 


如 何 产 生 新 的 服务 器 端的 ”ssh ” 公 钥 与 服务 器 自己 使 用 的 成 对 私 钥 ? 
CE 证 





意 ， 本 例题 不 要 在 已 经 正常 运作 的 网 络 服务 器 上 面 ， 因 为 可 能 会 造成 其 
他 客户 端的 

困扰 ! ) 

答 


CI 。 


由 于 服务 器 提供 的 公 钥 与 自己 的 私 钥 都 放置 于 /etc/ssh/ssh_host* ， 因 此 
你 


可 以 这 样 做 : 

[root@www ~]# rm /etc/ssh/ssh_host* <== 删 除 密 钥 档 
[root@www ~]# /etc/init.d/sshd restart 

正在 停止 sshd: [ 确定 ] 

正在 产生 SSH1 RSA 主机 密 钥 : [ 确定 ] <== 底 下 三 个 步骤 重 
新 产生 和 密 钠 ! 

正在 产生 SSH2 RSA 主机 密 钥 : [ 确定 ] 

正在 产生 SSH2 DSA 主机 密 钥 : [ 确定 ] 

正在 激活 sshd: [ 确定 ] 

[root@www ~]# date; l] /etc/ssh/ssh_host* 

Mon Jul 25 11:36:12 CST 2011 

-TW------- . 1 root root 668 Jul 25 11:35 /etc/ssh/ssh_host_dsa_key 
-TW-r--T--. 1 root root 590 Jul 25 11:35 
/etc/ssh/ssh_host_dsa_key.pub 


-TW------- . 1 root root 963 Jul 25 11:35 /etc/ssh/ssh_host_key 


-TW-I--T--. 1 root root 627 Jul 25 11:35 /etc/ssh/ssh_host _ key.pub 
-TW------- . 1 root root 1675 Jul 25 11:35 /etc/ssh/ssh_host_rsa_key 
-TW-r--T--. 1 root root 382 Jul 25 11:35 


/etc/ssh/ssh_host_rsa_key.pub 


ey 刚刚 建立 的 新 公 钥 、 私 钥 
统 ! 


11.2.2 启动 SSH 服务 


事实 上 ， 在 我 们 使 用 的 Linux 系统 当中 ， 默 认 束 已 经 含有 SSH 的 所 有 
需要 的 软件 


了 ! 这 包含 了 可 以 产生 密码 等 协议 的 _OpenSSL 软件 与 _OpenSSH 软件 
( 注 1)， 所 以 呢 ， 
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要 启动 SSH 真 的 是 太 简 单 了 ! 就 直接 给 他 启动 就 是 了 ! 此 外 ， 在 目前 
的 Linux 


Distributions 当中 ， 都 是 预 设 启动 SSH 的 ， 所 以 一 点 都 不 麻烦 ， 因 为 不 
用 去 设 定 ， 


他 就 已 经 局 动 了 ! ” 哇 ! 真是 爽快 一 无 论 如 何 ， 我 们 还 是 得 说 一 说 这 个 
局 动 的 方式 吧 ! 


直接 启动 就 是 以 SSH daemon ， 简 称 为 sshd 来 启动 的 ， 所 以 ， 手 动 可 以 
这 样 启 动 : 


[root@www ~|]# /etc/init.d/sshd restart 








[root@www ~]# netstat -tinp | grep ssh 


Active Internet connections (only servers) 

Proto Recv-Q Send-Q Local Address Foreign Address State 
PID/Program name 

tcp 0 0 1:::22 :::* LISTEN 

1539/sshd 


需要 注意 的 是 ，SSH 不 但 提供 了 shell 给 我 们 使 用 ， 亦 即 是 ssh protocol 
的 主要 目 


的 ， 同 时 亦 提供 了 一 个 较为 安全 的 FTP server ， 亦 即 是 ssh-ftp server 给 
我 们 当成 


是 FTP 来 使 用 ! 所 以 ， 这 个 sshd 可 以 同时 提供 shell 与 ftp 喔 ! 而 且 都 
是 架构 在 


port 22 上 面 的 呢 ! 所 以 ， 撒 下 我 们 就 来 提 一 所， 那么 怎么 样 由 Client 端 
十 技 上 上 


Server 端 呢 ? 同时 ， 如 何以 FTP 的 服务 来 连接 上 Server 并 且 使 用 FTP 
的 功能 呢 ? 


11.2.3 ssh 客户 端 联机 程序 - Linux 用 户 


如 果 你 的 客户 端 是 Linux 的 话 ， 那 么 茶 喜 你 了 ， 预 设 的 情况 下 ， 你 的 系 
统 已 经 有 


底下 的 所 有 指令 ， 可 以 不 必 安 朔 额外 的 软件 喔 ! ”底下 束 来 介绍 一 下 这 


些 指 令 吧 ! 


ssh : 直接 登入 远程 主机 的 指令 
SSH 在 client 端 使 用 的 是 ssh 这 个 指令 ， 这 个 指令 可 以 指定 联机 的 版 本 


(version1，version2)， 还 可 以 指定 非 正 规 的 ssh port (正规 ssh port 为 
22)。 不 


过 ， 一 般 的 用 法 可 以 使 用 底下 的 方式 : 
[root@www ~]# ssh [-f] [-o 参数 项 目 ] [-p 非 正 规 埋 口 ] [账号 @]IP [指令 ] 
选项 与 参数 : 


-: 需要 配合 后 面 的 [指令 ] ， 不 登入 远程 主机 直接 发 送 一 个 指令 过 去 而 
已 


-0 参数 项 目 : 主要 的 参数 项 目 有 : 


ConnectTimeout= 秒 数 : 联机 等 待 的 秒 数 ， 减 少 等 待 的 时 间 





StrictHostKeyChecking=[yeslnolask]: 预 设 是 ask， 知 要 让 public key 
主动 加 入 known_hosts ， 则 可 以 设 定 为 no 即 可 。 
net.qiang(Ohotmail.com 

-p : 如 果 你 的 sshd 服务 启动 在 非 正规 的 塌 口 (22)， 需 使 用 此 项 目 ; 
[指令 ] : 不 登入 远程 主机 ， 直 接 发 送 指令 过 去 。 但 与 -{f 意义 不 太 相 同 。 
#1. 直接 联机 登入 到 对 方 主机 的 方法 (以 登入 本 机 为 例 ): 
[root@www ~]# ssh 127.0.0.1 

The authenticity of host '127.0.0.1 (127.0.0.1) can't be established. 
RSA key fingerprint is 
eb:12:07:84:b9:3b:3f:e4:ad:ba:f1:85:41:fc:18:3b. 

Are you sure you want to continue connecting (yes/no)? yes 


Warning: Permanently added '127.0.0.1 (RSA) to the list of known hosts. 


root@127.0.0.1's password: <== 在 这 里 输入 root 的 密码 即 可 ! 

Last login: Mon Jul 25 11:36:06 2011 from 192.168.1.101 

[root@www ~]# exit <== 离 开 这 次 的 ssh 联机 

# 由 于 ssh 后 面 没 有 加 上 账号 ， 因 此 预 设 使 用 当前 的 账号 来 登入 远程 服 
务 器 

ssh 登入 远程 主机 ， 都 会 填写 『 ssh 账号 @ 主 机 卫 上 的 格式 ， 
,AE WL, 


使 用 该 主机 的 某 账号 登入 的 意思 。 但 是 很 多 朋友 都 不 喜欢 写 账号 ， 亦 即 
使 用 『 ssh 主 


机 IP 4 的 格式 。 如 同上 面 的 范例 情况 。 要 注意 喔 ， 如 果 不 写 账号 的 
话 ， 那 么 会 以 本 


地 端 计算 机 的 账号 来 尝试 登入 远程 。 “也 就 是 说 ， 如 果 近 端 与 远程 具有 
相同 的 账号 ， 那 


么 不 写 账 号 也 没有 关系 ， 如 上 表 中 的 范例 。 但 是 ， 为 了 以 后 习惯 痢 想 ， 
还 是 一 开始 就 


使 用 类 似 email 的 方式 来 登入 远程 主机 ， 这 样 的 行为 习惯 比较 好 哄 ! 


上 面 出 现 的 讯息 中 ， 开 头 RSA 的 那 行 后 面 接 的 就 是 远程 服务 器 的 公 钥 
指纹 码 ， 如 


果 确 定 该 指纹 码 没 有 问题 ， 那 么 你 束 得 要 输入 yes 来 将 该 指纹 码 写 入 服 
务 器 公 钥 记录 


文件 (~/.ssh/known_hosts)， 以 方便 未 来 比 对 该 服务 器 的 正确 性 之 用 。 注 














yes 喔 ， 单 纯 输 入 立 或 y 是 不 会 被 接受 的 一 此 外 ， 由 于 该 主机 的 公 钥 已 
经 被 记录 ， 


因此 未 来 重复 使 用 ssh 登入 此 主机 时 ， 就 不 会 出 现 这 个 指纹 码 提示 了 。 


# 2. 使 用 student 账号 登入 本 机 
[root@www ~]# ssh student(D127.0.0.1 
student(@®127.0.0.1's password: 
[student@www ~]$ exit 


# 由 于 加 入 账号 ， 因 此 切换 身份 成 为 student 了 ! 男 外 ， 因 为 127.0.0.1 


曾 
登入 过 ， 

# 所 以 就 不 会 再 出 现 提示 你 要 增加 主机 会 钥 的 讯 轧 哆 ! 
# 3. 登入 对 方 主机 执行 过 指令 后 立刻 离开 的 方式 : 


[root@www ~]# ssh student@127.0.0.1 find / &> ~/findl.log 





student@localhost's password: 

# 此 时 你 会 发 现 怎么 画面 卡 住 了 ? 这 是 因为 上 头 的 指令 会 造成 ， 
你 已 经 登入 远 

程 主机 ， 


人 
己 跑 ? 
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# 4. 与 上 题 相 同 ， 但 是 让 对 方 主机 上 自己 跑 该 指令 ， 你 立刻 回 到 近 端 主机 
继续 


TE: 


[root@www ~]# ssh -f student@127.0.0.1 find / &> ~/find1.log 


# 此 时 你 会 立刻 注销 127.0.0.1 ， 但 find 指令 会 自己 在 远程 服务 器 跑 喔 ! 


上 述 的 范例 当中 ， 第 4 个 范例 最 有 用 ! 如 果 你 想 要 让 远程 主机 进行 关机 
的 指令 ， 如 采 


不 加 上 -f 的 参数 ， 那 你 会 等 待 对 方 主 机 关机 完毕 再 将 你 足 出 联机 ， 这 
比较 不 合理 。 


因此 ， 加 上 -f 就 很 重要 一 因为 你 会 指定 远程 主机 上 自己 跑 关 机 ， 而 不 需 


要 在 空空 等 待 。 
例如 : 『ssh -froot@some_IP shutdown -h now 」 之 类 的 指令 嗓 。 


# 5. 删除 掉 known_hosts 后 ， 重 新 使 用 root 联机 到 本 机 ， 且 上 自动 加 上 公 
钥 记 录 


[root@www ~]# rm ~/.ssh/known_hosts 

[root@www ~]# ssh -o StrictHostKeyChecking=no root@localhost 

Warning: Permanently added localhost (RSA) to the list of known hosts. 
root@localhost's password: 

# 如 上 所 示 ， 不 会 问 你 yes 或 no 啦 ! 直接 会 写 入 ~/.ssh/known_hosts 当 
中 ! 

鸟 哥 上 课 常常 使 用 ssh 联机 到 同学 的 计算 机 去 看 他 有 没有 出 错 ， 有 时 候 


会 写 Script 


来 进行 答案 侦 测 。 “此 时 如 采 每 台 计 算 机 都 在 主动 加 上 公 铀 文件 记录 ， 
都 得 要 输入 

『 yes 」， 会 累 死 ! 那么 加 上 这 个 StrictHostKeyChecking=no 就 很 有 帮 
助 啦 ! 他 会 


不 询问 自动 加 入 主机 的 公 钥 到 档案 中 ， 对 于 一 般 使 用 者 帮助 不 大 ， 对 于 
程序 脚本 来 说 ， 








这 玩意 儿 可 就 很 不 错 用 了 ! 


服务 器 公 钥 记录 文件 : ~/.ssh/known_hosts 
和 本 机 会 主动 的 用 接收 到 的 服务 右 的 public key 
比 区 


~/.Ssh/known_hosts 有 无 相关 的 公 钥 ， 然后 进行 底下 的 动作 : 


硅 接 收 的 公 钥 尚未 记录 ， 则 询问 用 户 是 否 记 录 。 硝 要 记录 (范例 中 回 
全 yes 


的 那个 步 又) 则 写 入 ~/.ssh/known_hosts 且 继 续 登 入 的 后 续 工作 ; 若 不 记 
录 








(回答 no) 则 不 写 入 该 档案 ， 并 且 离 开 登 入 工作 ; 
看 接收 到 的 公 钥 己 有 记录 ， 则 比 对 记录 是 人 否 相同 ， 大 相 同 则 继续 登入 


动作 


右 不 相同 ， 则 出 现 警 告 信息 ，” 且 离 开 登 入 的 动作 。 这 是 客户 端的 目 我 
保护 功能 ， 


避免 你 的 服务 器 是 被 别人 伪装 的 。 


虽然 说 服务 器 的 ssh 通常 可 能 会 改变 ， 问 题 是 ， 如 果 是 测试 用 的 主机 ， 
因此 常常 


在 重新 安装 ， 那 么 服务 器 的 公 钥 肯定 经 常 不 同 ， ”来 真如 此 的 话 ， 你 就 
无 法 继续 登入 了 ! 


那 怎 办 ? 让 我 们 来 模拟 一 下 这 个 行为 吧 ! 让 你 比较 有 印象 啦 ! 
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例题 : 


仿真 伺服 器 重新 安装 后 ， 假 设 服务 髓 使 用 相同 的 IP ， 造 成 相同 IP 的 服 
En 


公 角 不同， 产生 的 问题 与 解决 之 道 为 何 ? 
和 


Er。 


利用 前 一 小 节 讲 过 的 方式 ， 删 除 原 有 的 系统 公 钥 ， 重 新 启动 ssh 让 你 的 
公 销 更 


新 : 


rm /etc/ssh/ssh_ host* 


x 


/etc/init.d/sshd restart 
然后 重新 使 用 底下 的 方式 来 进行 联机 的 动作 : 
[root@www ~]# ssh root@localhost 


QQOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOO 


@© WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ 
<== 就 告 


诉 你 可 能 有 问题 
QOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOO 
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! 
Someone could be eavesdropping on you right now (man-in-the-middle 
attack)! 

It is also possible that the RSA host key has just been changed. 


The fingerprint for the RSA key sent by the remote host is 


a7:2e:58:51:9f:1b:02:64:56:ea:cb:9c:92:5e:79:f9. 

Please contact your system administrator. 

Add correct host key in /root/.ssh/known_hosts to get rid of this 

message. 

Offending key in /root/.ssh/known_hosts:1 <== 冒 号 后 面 接 的 数字 就 是 有 
问题 数据 行 号 

RSA host key for localhost has changed and you have requested strict 
checking. 


Host key verification failed. 


上 述 的 表格 出 现 的 错误 讯 轧 中， 特殊 字体 的 地 方 在 告诉 


你 : /root/.ssh/known_hosts 


的 第 1 行 ， 里 面 的 公 钥 与 这 次 接收 到 的 结果 不 同 ， 很 可 能 被 攻击 了 ! 那 
怎 办 ? 没 关 


系 啦 ! 请 你 使 用 vim 到 /root/.ssh/known_hosts ， 并 将 第 工行 (冒号 : 后 面 
接 


的 数字 就 是 了 ) 删除 ， 之 后 再 重新 ssh 过 ， 那 系统 又 会 重新 问 你 要 不 要 
加 上 公 和 钥 哆 ! 


就 这 么 简单 ! 人 人 








模拟 FTP 的 文件 传输 方式 : sftp 


ssh 是 登入 远程 服务 器 进行 工作 ， 那 如 果 你 只 是 想 要 从 远程 服务 器 下 载 
或 上 传 档案 





呢 ? 那 就 不 是 使 用 ssh 啦 ， 而 必须 要 使 用 sftp 或 scp。 这 两 个 指令 也 都 
是 使 用 ssh 
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的 通道 (port 22)， 只 是 模拟 成 FTP 与 复制 的 动作 而 已 。 我 们 先 谈 谈 sftp 
， 这 个 指 


令 的 用 法 与 ssh 很 相似 ， 只 是 ssh 是 用 在 登入 而 sftp 在 上 传 /下 载 文件 而 
ls 


[root@www ~]# sftp student(@localhost 

Connecting to localhost... 

student(@localhost's password: <== 这 里 请 输入 密码 啊 ! 

sftp> exit <== 这 里 就 是 在 等 待 你 得 入 ftp 相关 指令 的 地 方 了 ! 


进入 到 sftp 之 后 ， 那 就 跟 在 一 般 FTP 模式 下 的 操作 方法 没有 两 样 了 ! 
底下 我 们 就 来 


谈 一 谈 ， sftp 这 个 接口 下 的 使 用 指令 吧 ! 
针对 远方 服务 器 主机 (Server) 之 行为 
变换 目录 到 /etc/test 或 其 

cd /etc/test 

他 目录 

cd PATH 

ls 

列 出 目前 所 在 目录 下 的 文件 名 dir 

建立 目录 


mkdir directory 
删除 目录 

rmdir directory 
显示 目前 所 在 的 目录 
pwd 

更 改 档案 或 目录 群 组 








chgrp groupname PATH 
更 改 档案 或 目录 拥有 者 








chown username PATH 
chmod 644 PATH 

更 改 档案 或 目录 的 权限 

其 中 ，644 与 权限 有 关 ! 回去 看 基础 篇 ! 
建立 连结 档 








ln oldname newname 
删除 档案 或 目录 
Im PATH 


更 改 档案 或 目录 名 称 








rename oldname newname 
离开 远程 主机 


exit (or) bye (or) quit 


针对 本 机 (Clienb 之 行为 (都 加 上 1 的 小 写 ) 
变换 目录 到 本 机 的 PATH 当中 lcd PATH 
列 出 目前 本 机 所 在 目录 下 的 文 ls 

件 名 

在 本 机 建立 目录 

Imkdir 

显示 目前 所 在 的 本 机 目录 

lpwd 
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针对 资料 上 传 /下 载 的 行为 

put [本 机 目录 或 档案 ] [远程 ] 

put [本 机 目录 或 档案 ] 


ee 如 条 是 这 种 格式 ， 则 档案 会 放置 到 目前 
远程 主 


机 的 目录 下 ! 

get [远程 主机 目录 或 档案 ] [本 机 ] 

get [远程 主机 目录 或 档案 ] 

右 是 这 种 格式 ， 则 档案 会 放置 在 目前 本 机 所 在 
将 档案 由 远程 主机 下 载 回来 

的 目录 当中 ! 可 以 使 用 通配符 ， 例 如 : 

















get * 


get *.rpm 
亦 是 可 以 的 格式 ! 


就 整体 而 言 ， sftp 在 Linux 底下 ， 如 果 不 考虑 图 形 接口 ， 那 么 他 已 经 可 
以 取代 FTP 了 


呢 ! 因为 所 有 的 功能 都 已 经 涵盖 啦 ! 因此 ， 在 不 考虑 到 图 形 接 口 的 FTP 
软件 时 ， 可 以 


直接 关 掉 FTP 的 服务 ， 而 改 以 sftp-server 来 提供 FTP 的 服务 吧 ! 人 信人 
例题 : 


假设 localhost 为 远程 服务 器 ， 且 服务 器 上 有 student 这 个 使 用 者 。 你 想 
要 








(1) 将 本 机 的 /etc/hosts 上 传 到 student 家 目录 ， 并 (2) 将 student 的 .bashrc 
复制 到 本 机 的 /tmp 底下 ， 访 如何 透 过 sftp 达成 ? 

答 : 

[root@www ~]# sftp student@localhost 

sftp> lls /etc/hosts <== 先 看 看 本 机 有 没有 这 个 档案 

/etc/hosts 

sftp> put /etc/hosts <== 有 的 话 ， 那 就 上 传 吧 ! 

Uploading /etc/hosts to home/student/hosts 

/etc/hosts 100% 243 0.2KB/s 00:00 

sftp> ls <== 有 没有 上 传 成 功 ? 看 远程 目录 下 的 文件 名 


hosts 








sftp> ls -a <== 那 有 没有 隐藏 档 呢 ? 

. .. .bash_history .bash_logout 

.bash_profile .bashrc .mozilla hosts 

sftt> lcd /tmp <== 切 换 本 机 目录 到 /tmp 

sftp> lpwd <== 只 是 进行 确认 而 已 ! 

Local working directory: /tmp 

sftp> get .bashrc <== 没 问题 束 下 载 吧 ! 
Fetching /home/student/.bashrc to .bashrc 
/home/student/.bashrc 100% 124 0.1KB/s 00:00 
sftp> lls -a <== 看 本 地 端 档案 档 名 

. .font-unix keyring-rNd7qX .X11-unix 
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.. .gdm_ socket lost+found scim-panel-socket:0-root 
.bashrc .ICE-unix mapping-root .XO0-lock 

sftp> exit <== 离 开 吧 ! 


如 果 你 不 喜欢 使 用 文字 接口 进行 FTP 的 传输 ， 那 么 还 可 以 透 过 图 形 接 
口 来 连接 到 


sftp-server 哩 ! 你 可 以 利用 二 十 一 章 FTP 服务 器 提 到 的 Filezilla 来 进行 
联机 的 


啦 ! 如 此 一 来 ， 与 服务 器 之 间 的 文件 传输 就 方便 多 了 吧 ! 





档案 异地 直接 复制 : scp 


通常 使 用 sftp 是 因为 可 能 不 知道 服务 器 上 面 有 什么 档 名 的 档案 存在 ， 如 
果 已 经 知 


道 服 务 器 上 的 档案 档 名 了 ， 那么 最 简单 的 文件 传输 则 是 透 过 scp 这 个 指 
令 喔 ! 最 简单 


的 scp 用 法 如 下 : 
[root@www ~]# scp [-pr] [-1 速率 ] file [账号 @] 主 机 :目录 名 <== 上 传 














[root@www ~]# scp [-pr] [-1 速率 ] [账号 @] 主 机 :fle 目录 名 <== 下 载 
选项 与 参数 : 

-p : 保留 原本 档案 的 权限 数据 ; 

T: 复制 来 源 为 目录 时 ， 可 以 复制 整个 目录 ( 含 子 目录 ) 

-1 : 可 以 限制 传输 的 速度 ， 单 位 为 Kbits/s ， 例 如 [-1 800] 代表 传输 速 限 
100Kbytes/s 

#1. 将 本 机 的 /etc/hosts* 全 部 复制 到 127.0.0.1 上 面 的 student 家 目 

录 内 


[root@www ~]# scp /etc/hosts* student@127.0.0.1:~ 








student@127.0.0.1's password: <== 输 入 student 密码 
hosts 100% 207 0.2KB/s 00:00 

hosts.allow 100% 161 0.2KB/s 00:00 

hosts.deny 100% 347 0.3KB/s 00:00 


# 文件 名 显示 进度 容量 (bytes) 传输 速度 剩余 时 间 





# 你 可 以 仔细 看 ， 出 现 的 讯 晨 有 五 个 字段 ， 意 义 如 上 所 示 。 
#2. 将 127.0.0.1 这 部 远程 主机 的 /etc/bashrc 复制 到 本 机 的 /tmp 底下 
[root@www ~]# scp student@®127.0.0.1:/etc/bashrc /tmp 


其 实 上 传 或 下 载 的 重点 是 那个 冒号 (:) 哆 ! 连接 在 冒号 后 面 的 就 是 远程 
主机 的 档案 。 


因此 ， 如 果 冒 号 在 前 ， 代 表 的 就 是 从 远程 主机 下 载 下 来 ， 如 末 冒 号 在 
后 ， 则 代表 本 机 数 


据 上 传 啦 ! 而 如 果 想 要 复制 目录 的 话 ， 那 么 可 以 加 上 -r 的 选项 ! 
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必 

例题 : 

假设 本 机 有 个 档案 档 名 为 /root/dd_10mb_file ， 这 个 档案 有 10 MB 这 
么 大 。 假 设 你 想 要 上 传 到 127.0.0.1 的 /tmp 底下 去 ， 而 且 你 在 127.0.0.1 
上 面 有 root 这 个 账号 的 使 用 权 。 但 由 于 带宽 很 宝贵 ， 因 此 你 只 想 要 花费 
100Kbyes/s 的 传输 量 给 此 一 动作 ， 那 该 如 何 下 达 指 令 ? 


答 -. 


霹 。 





由 于 预 设 不 存在 这 个 档案 ， 因 此 我 们 得 先 使 用 dd 来 建立 一 个 大 档案 : 
dd if=/dev/zero of=/rootdd_10mb_file bs=1M count=10 

建立 妥当 之 后 ， 由 于 是 上 传 数据 ， 观 察 -1 的 选项 中 ， 那 个 速率 用 的 是 
bit ， 转 成 容量 的 bytes 需要 乘 上 8 倍 ， 因 此 指令 就 要 这 样 下 达 : 


scp -] 800 /root/dd_10mb file root@127.0.0.1:/tmp 





11.2.4 ssh 客户 端 联机 程序 - Windows 用 户 


昌 py 不 同 的 是 ， 预 设 的 Windows 并 没有 ssh 的 客户 端 程 序 ， 因 此 所 
的 程 


序 都 得 要 下 载 其 他 第 三 方 软件 才 行 。 篆 见 的 软件 主要 有 pietty, psftp 及 


filezilla 


等 。 底 下 就 让 我 们 来 谈 谈 这 几 个 软件 吧 。 


直接 联机 的 pietty 
在 Linux 底下 想 要 连接 SSH 服务 器 ， 可 以 直接 利用 _ssh 这 个 指令 ， 在 
Windows 操作 系统 底下 就 得 要 使 用 pietty 或 putty 这 两 个 玩意 儿 ， 这 两 
者 的 下 载 点 请 参考 


二 2 





在 putty 的 官方 网 站 上 有 很 多 的 软件 可 以 使 用 的 ， 包 括 putty/pscp/psftp 








他 们 分 别 对 应 了 ssh/scp/sftp 这 三 个 指令 就 是 了 。 而 乌 哥 爱 用 的 pietty 则 
是 台湾 的 


林 弘 德 先生 根据 putty 所 改版 而 成 的 。 由 于 pietty 除了 完整 的 兼容 于 
putty 之 外 ， 


还 提供 了 选单 与 较为 完整 的 文字 编码 ， 实 在 很 好 用 呢 ， 所 以 底下 乌 哥 就 
以 pietty 来 作 


为 介绍 嗓 。 在 你 下 载 pietty 完成 后 ， 双 击 该 档案 ， 就 会 出 现 如 下 的 画面 
吧 ; 
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总 PieTTY 违 禾 武 定 























Wr 
| © Telnet (BBSY 他 = 


使 用 界面 
lv 选单 列 司 ) 三 PuTTY 模 式 三 Englsh UI 















FPieTTY 和 


PieTTY YD,3,27 (formerly ‘pputty') by 
Hung-Te Lin <piaip 总 csie,Drg> 


[_ 深 牧 (0) | 取 少 C) | 


















= 上 口 | x| 





Ee 四 榨 视 吧 视窗 全) 选项 旬 ) 说 明 琶 


来 来 来 来 
Dll from localhost 








图 11.2-3、pietty 的 启动 屏幕 示意 图 








在 上 图 中 箭头 为 1 的 地 方 请 填写 相关 的 主机 名 或 者 是 IP ， 箭 头 2 当然 
务必 选择 


SSH 那 一 至 于 箭头 3 的 地 方 ， 乌 哥 比 较 喜 欢 选单 出 现 的 样式 ， 因 为 
0 


一 些 pietty 的 环境 设 定 值 ， 所 以 岛 哥 是 选择 选单 啦 ! 车 没有 问题 ， 按 下 
[联机 J 后， 


就 会 出 现 如 下 等 待 登入 与 输入 账 / 密 数 据 的 男 面 : 





图 11.2-4、pietty 的 登入 与 使 用 画面 示意 图 


以 为 是 在 主机 前 面 工作 吧 ! 而 且 上 头 还 有 选单 可 以 随时 
以 字 


形 、 字 体 、 字 符 编码 等 等 的 重要 环境 参数 。 尤其 是 字符 编码 的 问题 ， 
有 时 候 你 会 发 现 


开启 档案 时 ， 竟 然 画 面 当 中 会 有 乱码 而 不 是 正常 的 中 文 显示 ， ” 那 就 是 
编码 的 问题 。 要 


"0 上 问题 时 ， 你 必须 要 牢记 下 面 的 三 个 跟 语 系 编 码 有 关 的 数据 要 相 
同 才 行 : 


文本 文件 本 身 在 存档 时 所 挑选 的 语系 ; 
Linux 程序 (如 bash 软件 ) 本 身 所 使 用 的 语系 (可 用 LANG 变量 调 


整 ); 














pietty 所 使 用 的 语系 。 
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让 root 本 下 汪 于 [E23 | 
这 各 (CD) EE 检视 D ”视窗 (WV) | 选项 0) 说 明 琶 ) 


系统 预 讼 值 字 元 编码 下 ) 
w Unicode - 部 国 落 言 显示 方式 


gs CP950 汉字 (或 阐 ) 苇 换 ( 友 
Japans-JIs CP932 亚洲 语 勾 修正 必 ) 


Korean CPg49 8 
操作 界面 语 柔 代 ) 
PRC GB2312 CP936 系统 整合 他 ) 


详细 让 定 QD..… 











IE 了 3 | xl 


Session 
: Logging 
Terminal ;小 
Keyboard fw Disable application keypad mode 
厂 Disable sterm-style mouse reporting 
厂 Disable remote-controlled terminal resizing 
厂 Disable switching to alternate terminal screen 
厂 Disable remote-controlled window title changing 
[¥ Disable remote window title guerying [SECURITY) 
厂 Disable destructive backspace on server sending “? 























Behaviour 
Translation 
Selection 


i 厂 Disable remote-controlled character set configuration 
Connection 厂 Disable Arabic text shaping 
Data 厂 Disable bidirectional text display 




















Tunnels 可 


我 们 知道 Linux 本 喘 的 编码 可 以 透 过 LANG 这 个 变量 来 调整 ， 那 该 如 何 
调整 


pietty 的 中 文 编码 呢 ? 你 可 以 透 过 图 11.2-4 选单 列 当中 的 『 选 项 ] 来 处 
理 ， 如 下 所 





示 : 
图 11.2-5、 调 整 pietty 的 语系 编码 方式 (与 中 文 较 相 关 ) 


在 | 的 『 字 符 编 码 」 里 面 可 以 挑选 big5 (cp950) 或 者 是 unicode 
(utf8) 的 


中 文 编码 ， 让 它 符合 你 的 Linux 与 档案 所 储存 的 数据 格式 ， 那 中 文字 就 
OK 的 啦 ! 和信 ! 


如 果 想 要 作 更 细部 的 设 定时 ， 可 以 选择 图 11.2-5 上 头 最 底下 的 那个 『 详 
细 设 定 」 项 目 ， 





就 会 出 现 如 下 图 示 。 其 中 更 为 重要 的 是 『 键 盘 右 侧 的 数字 键 想 要 生效 
时 ， 可 以 按照 


下 图 的 指示 来 局 动 数 字 键 的 功能 : 
图 11.2-6、pietty 软件 环境 详细 设 定 ， 与 键盘 右 侧 数字 键 相 关 者 
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PieTTY 误 定 届 整 Xx| 
器: Session Dptions controlling PieT TY's window 
“ Logging Set the size of the window 
= Terminal 
Bows [Columns 

Keyboard 

Bpell | 只 | 63 

Features When window Is resized: 


{* Change the number of rows and columns 
六 Change the size of the font 

© Change font size only when maximised 
fF Forbid resizing completely 





Selection 

Colours 
Connection 

Data 






Control the scrollback In the window 


Lines of scrollback [20000 


Jv Display scrollbar 
厂 Display scrollbar in full screen mode 
厂 Reset scrollback on keypress 

fw Reset scrollback on display activity 
I[¥ Push erased text into scrollback 


















Tunnels 了 | 


将 上 图 中 箭头 2 所 指 的 那个 项 目 勾 选 起 来 且 控 下 『Apply」 之 后 ， 你 键 
盘 右 侧 的 数 


字 键 才能 够 正 间 的 使 用 呢 ， 人 否则 投 右 侧 数字 键 会 是 乱码 啦 。 再来， 你 
可 以 调整 pietty 


滚动 条 的 记忆 行 数 ， 这 样 当 数据 太 多 时 ， 你 依旧 可 以 调整 滚动 条 来 查阅 
之 前 的 数据 。 设 











定 的 方法 如 下 : 
图 11.2-7、 调 整 画 面 可 以 记忆 的 行 数 ， 可 让 用 户 回 去 看 较 多 之 前 的 画面 


调整 完 这 些 常 用 的 数据 后 ， 再 来 这 是 最 重要 的 : 『 你 要 以 哪 一 个 版 本 的 
SSH 算法 


登入 ? 」 前面 说 过 ， 我 们 预 设 是 以 version2 来 登入 的 ， 所 以 这 里 我 们 可 
以 调整 为 2 那 


个 项 目 ! 这 样 每 次 登入 都 会 以 version 2 的 模式 登入 主机 了 ! 
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总 PieTTY 起 定 羽 整 x| 










































































Session 
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加 -Terminal 
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Tunnels bd 


图 11.2-8、 设 定 登 入 服务 器 时 使 用 的 ssh 算法 版 本 


整个 pietty 的 使 用 与 相关 设 定 流程 就 是 这 样 ! 如 此 一 来 ， 你 就 可 以 在 
Windows 上 


面 以 SSH 的 协议 ， 登 入 远程 的 Linux 主机 噜 ! 粉 方 便 吧 ! 人 人! 如 果 想 
要 中 文 文 持 


的 话 ， 目 前 pietty 已经 支持 中 文 啦 ! 你 可 以 输入 中 文 嘱 ! 不 过 需要 修改 
一 下 字符 集 ， 


选择 图 11.2-5 『 选 项 上】 内 的 『 字 型 」 就 会 出 现 如 下 图 示 : 
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于 和 2 


宇 型 样式 信 ): 友 小 8): 
醒 淮 10 


WST Swed 
禄 明 蝶 











图 11.2-9、 选 择 中 文 的 字形 与 编码 


将 (1) 字 型 设 定 为 细 明 体 、(2) 字 集 设 定 为 [Big5 上 1 ， 如 此 一 来 ， 你 的 
pietty 就 文 


持 中 文 的 输入 哆 ! 


那么 上 面 我 们 作 的 这 些 设 定 值 都 记录 在 哪里 啊 ? 呵呵 ! 都 记录 在 
Windows 的 登录 


文件 当中 啊 ! 你 可 以 在 Windows 的 系统 当中 ， 在 『 开 始 」--> 『 执 行 」 
后 ， 出 现 的 框 杠 


内 输入 Tregeditj ， 之 后 会 出 现 一 个 大 窗口 。 请 在 左边 的 画面 当中 选择 


上 HKEY_CURRENT_USER --> Software --> SimonTatham --> PuTTY --> 
Sessions| ， 


就 可 以 看 到 你 的 设 定 值 哆 ! 和 人! 这 样 ， 也 就 可 以 储存 你 的 设 定 值 哆 ~ 


使 用 sftp-server 的 功能 : psftp 


在 putty 的 官方 网 站 上 也 提供 psftp 这 文 程序 。 这 一 文 程 序 的 重点 则 在 使 
用 








sftp-server。 使 用 的 方式 可 以 直接 点 选 psftp 这 个 档案 ， 让 他 直接 启动 ， 
则 会 出 现下 


面 的 图 样 : 
psftp: no hostname specified; use "open host.name" to connect 
psftp> 


这 个 时 候 可 以 填 入 你 要 连接 上 去 的 主机 名 ， 例 如 我 的 区 域内 网 络 
192.168.100.254 这 


部 主机 : 





psftp: no hostname specified; use "open host.name" to connect 
net.giang(@hotmail.com 

0 

psftp> open 192.168.100.254 

login as: root 


root(@192.168.100.254's password: 


Remote working directory is /root 
psftp> <== 这 里 就 在 等 待 你 输入 FTP 的 指令 了 ! 


呵呵 ! 这 样 就 登入 主机 啦 ! 很 简单 吧 ! 然后 其 他 的 使 用 方式 跟前 面 提 到 
的 sftp 一 样 哩 ! 


加 油 的 使 用 吧 ! 


图 形 化 接口 的 sftp 客户 端 软 件 : Filezilla 


SSH 0 sftp 功能 只 能 利用 纯 文 本 接口 的 psftp 来 联机 吗 ? 有 没有 
图 形 提 


口 的 软件 呢 ? 呵呵 ! 当然 有 ! ， 那 就 是 非常 有 用 的 Filezilla 吃 ! Filezilla 
是 图 形 接 


口 的 一 个 FTP 客户 端 软件 ， 使 用 上 非常 的 方便 ， 至 于 详细 的 安装 与 使 
用 流程 请 参考 第 


二 十 一 章 vsftpd 的 说 明 喔 ! 
11.2.5 sshd 服务 器 细部 设 定 


基本 上 ， 所 有 的 sshd 服务 器 详细 设 定 都 放 在 /etc/ssh/sshd_config 里 面 ! 
不 过 ， 


每 个 Linux distribution 的 预 设 设 定 都 不 太 相 同 ， 所 以 我 们 有 必要 来 了 解 
一 下 整个 设 


定 值 的 意义 为 何 才 好 ! ”同时 请 注意 ， 在 预 设 的 档案 内 ， 只 要 是 预 设 有 
出 现 且 被 批注 的 


设 定 值 ( 设 定 值 前 面 加 # 力 ， 即 为 『 默 认 值 ! 」， 你 可 以 依据 它 来 修改 的 
哩 。 








[root@www ~]# vim /etc/ssh/sshd_config 


#1. 关于 SSH Server 的 整体 设 定 ， 包 含 使 用 的 port 啦 ， 以 及 使 用 的 密码 
# Port 22 

# SSH 预 设 使 用 22 这 个 port， 也 可 以 使 用 多 个 port， 即 重复 使 用 port 这 
个 设 定 项 目 ! 

# 例如 想 要 开放 sshd 在 22 与 443 ， 则 多 加 一 行内 容 为 : 『 Port 443 ] 

# 然后 重新 启动 sshd 这 样 就 好 了 ! 不 过 ， 不 建议 修改 port number 啦 ! 
Protocol 2 


# 选择 的 SSH 协议 版 本 ， 可 以 是 1 也 可 以 是 2 ，CentOS 5.x 预 设 是 仅 支 
援 


V2 
# 如 果 想 要 支持 旧版 V1 ， 就 得 要 使 用 『 Protocol 2,1 」 才 行 。 
net.qiang(Ohotmail.com 

# ListenAddress 0.0.0.0 

# 监听 的 主机 适配器 ! 举 个 例子 来 说 ， 如 果 你 有 两 个 IP， 分 别 是 
192.168.1.100 及 

# 192.168.100.254， 假 设 你 只 想 要 让 192.168.1.100 可 以 监听 sshd ， 那 就 
这 样 写 : 

# 『 ListenAddress 192.168.1.100 」 默认 值 是 监 昕 所 有 接口 的 SSH 要 求 
# PidFile /var/run/sshd.pid 


# 可 以 放置 SSHD 这 个 PID 的 档案 ! 上 述 为 默认 值 


# LoginGraceTime 2m 


# 当 使 用 者 连 上 SSH server 之 后 ， 会 出 现 输入 密码 的 了 画面， 在 该 画面 


? 


人 连 上 SSH server 束 强 迫 断 线 ! 知 无 单位 则 默认 
时 间 


为 秒 ! 
# Compression delayed 


， 指定 何 时 开始 使 用 压缩 数据 模式 进行 传输 。 有 yes, no 与 登入 后 才 将 数 





压缩 (delayed) 

#2. 说 明 主 机 的 Private Key 放置 的 档案 ， 预 设 使 用 下 面 的 档案 即 可 ! 

# HostKey /etc/ssh/ssh_host key# SSH version 1 使 用 的 私 铀 

# HostKey /etc/ssh/ssh_host_rsa_key # SSH version 2 使 用 的 RSA 私 

铀 

# HostKey /etc/ssh/ssh_host_dsa_key # SSH version 2 使 用 的 DSA 私 

钥 

# 还 记得 我 们 在 主机 的 SSH 联机 流程 里 面谈 到 的 ， 这 里 就 是 Host Key 


i 


#3. 关于 登录 文件 的 讯 姑 数据 放置 与 daemon 的 名 称 ! 
SyslogFacility AUTHPRIV 


$0 SSH 会 记录 信息 ， 这 个 信息 要 记录 
十 


么 daemon name 


# 底下 ? 预 设 是 以 AUTH 来 设 定 的 ， 即 是 /var/log/secure 里 面 ! 什么 ? 
并 


1 
# 回 到 Linux 基础 去 翻 一 下 。 其 他 可 用 的 daemon name 为 : 
DAEMON,USER,AUTH, 


# LOCAL0O,LOCAL1,LOCAL2,LOCAL3,LOCAL4,LOCALS, 

# LogLevel INFO 

# 登录 记录 的 等 级 ! 嘿嘿 ! 任何 讯 县 ! 同样 的 ， 起 记 了 就 回去 参考 ! 
#4. 安全 设 定 项 目 ! 极 重 要 ! 

#4.1 登入 设 定 部 分 

# PermitRootLogin yes 
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# 是 否 允 许 root 登入 ! 预 设 是 允许 的 ， 但 是 建议 设 定 成 nol 

# StrictModes yes 

# 是 否 让 sshd 去 检查 用 户 家 目录 或 相关 档案 的 权限 数据 ， 

# 这 是 为 了 担心 使 用 者 将 东 些 重要 档案 的 权限 设 错 ， 可 能 会 导致 一 些 问 


题 所 
致 。 
# 例如 使 用 者 的 ~.ssh/ 权限 设 错时 ， 菏 些 特殊 情况 下 会 不 许 用 户 登 入 











# PubkeyAuthentication yes 


# AuthorizedKeysFile .ssh/authorized_keys 


# 是 个 允许 用 户 目 行使 用 成 对 的 密 钥 系统 进行 登入 行为 ， 仅 针对 version 
2 


# 至 于 自制 的 公 钥 数据 就 放置 于 用 户 家 目录 下 的 .ssh/authorized_keys 内 
PasswordAuthentication yes 

# 密码 验证 当然 是 需要 的 ! 所 以 这 里 写 yes 哆 ! 

# PermitEmptyPasswords no 

# 若 上 面 那 一 项 如 果 设 定 为 yes 的 话 ， 这 一 项 就 最 好 设 定 为 no ， 

# 这 个 项 目 在 是 否 人 允许 以 空 的 密码 登入 ! 当然 不 许 ! 

# 4.2 认证 部 分 

# RhostsAuthentication no 

# 本 机 系统 不 使 用 .mhosts， 因 为 仅 使 用 .rhosts 太 不 安全 了 ， 所 以 这 里 一 
定 要 设 定 为 no 

# IgnoreRhosts yes 

# 是 否 取 消 使 用 ~/.ssh/.rhosts 来 做 为 认证 ! 当然 是 ! 

# RhostsRSAAuthentication no # 

# 这 个 选项 是 专门 给 version 1 用 的 ， 使 用 rhosts 档案 在 

/etc/hosts.equiv 

# 配合 RSA 演算 方式 来 进行 认证 ! 不 要 使 用 啊 ! 

# HostbasedAuthentication no 


# 这 个 项 目 与 上 面 的 项 目 类 似 ， 不 过 是 给 version 2 使 用 的 ! 


#1gnoreUserKnownHosts no 

# 是 否 忽略 家 目录 内 的 ~/.ssh/known_hosts 这 个 档案 所 记录 的 主机 内 容 ? 
# 当然 不 要 忽略 ， 所 以 这 里 就 是 no 啦 ! 

ChallengeResponseAuthentication no 


# 人 允许 任何 的 密码 认证 ! 所 以 ， 任 何 login.conf 规定 的 认证 方式 ， 均 可 
适用 ! 


# 但 目前 我 们 比较 喜欢 使 用 PAM 模块 帮忙 管理 认证 ， 因 此 这 个 选项 可 
以 设 定 
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为 no 喔 ! 

UsePAM yes 

# 利用 PAM 管理 使 用 者 认证 有 很 多 好 处 ， 可 以 记录 与 管理 。 

# 所 以 这 里 我 们 建议 你 使 用 UsePAM 且 ChallengeResponseAuthentication 
设 定 为 no 


# 4.3 与 Kerberos 有 关 的 参数 设 定 ! 因为 我 们 没有 Kerberos 主机 ， 所 以 
底 


下 不 用 设 定 ! 

# KerberosAuthentication no 
# KerberosOrLocalPasswd yes 
# KerberosTicketCleanup yes 


# KerberosTgtPassing no 





#4.4 底下 是 有 关 在 X-Window 底下 使 用 的 相关 设 定 ! 
X11Forwarding yes 

# X11DisplayOffset 10 

# X11UseLocalhost yes 

# 比较 重要 的 是 X11Forwarding 项 目 ， 

他 可 以 让 窗口 的 数据 透 过 ssh 信道 来 

传送 喔 ! 

# 在 本 章 后 面 比较 进 阶 的 ssh 使 用 方法 中 会 谈 到 。 

# 4.5 登入 后 的 项 目 : 

# PrintMotd yes 

登入 后 古 侣 显示 出 一 坚信 息 忌 呢 ? 例如 上 次 登入 的 时 间 、 地 点 等 等 ， 预 
是 


# 亦 即 是 打印 出 /etcmotd 这 个 档案 的 内 容 。 但 是 ， 如 果 为 了 安全 ， 可 以 
考 


虑 改 为 no ! 

# PrintLastLog yes 

# 显示 上 次 登入 的 信息 ! 可 以 啊 ! 预 设 也 是 yes ! 
#TCPKeepAlive yes 


# 当 达 成 联机 后 ， 服 务 器 会 一 直 传 送 TCP 封包 给 客户 端 尹 以 判断 对 方式 


口 


直 存 在 联机 。 


RU 
制 [ 喔 ! 


# 在 这 个 情况 下 ， 任 何 一 器 死 掉 后 ，SSH 可 以 立刻 知道 ! 而 不 会 有 僵尸 
程序 的 


发 生 ! 

# 但 如 果 你 的 网 络 或 路 由 器 常常 不 稳定 ， 那 么 可 以 设 定 为 no 的 啦 ! 
UsePrivilegeSeparation yes 

# 是 否 权 限 较 低 的 程序 来 提供 用 户 操 作 。 我 们 知道 sshd 局 动 在 port 22 
因此 启动 的 程序 是 属于 root 的 身份 。 那 么 当 student 登入 后 ， 这 个 设 
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必 

值 

# 会 让 sshd 产生 一 个 属于 sutdent 的 sshd 程序 来 使 用 ， 对 系统 较 安 全 
MaxStartups 10 

和 当 我 们 连 上 SSH ， 但 是 尚未 输入 


时 ， 


me 
主机 ， 








# 所 以 需要 设 定 最 大 值 ， 预 设 最 多 十 个 联机 画面 ， 而 已 经 建立 联机 的 不 


计算 在 

这 十 个 当中 

# 4.6 关于 用 户 抵挡 的 设 定 项 目 : 

DenyUsers * 

# 设 定 受 抵挡 的 使 用 者 名 称 ， 如 果 是 全 部 的 使 用 者 ， 那 就 是 全 部 挡 吧 ! 
# 若是 部 分 使 用 者 ， 可 以 将 该 账号 填 入 ! 例如 下 列 ! 

DenyUsers test 

DenyGroups test 

# 与 DenyUsers 相同 ! 仅 抵挡 几 个 群 组 而 已 ! 

# 5. 关于 SFTP 服务 与 其 他 的 设 定 项 目 ! 

Subsystem sftp /usr/lib/ssh/sftp-server 

# UseDNS yes 

SR DNS 





客户 端的 主机 名 
# “不 过 如 果 是 在 内 网 互 连 ， 这 项 目 设 定 为 no 会 让 联机 达成 速度 比较 
快 。 





基本 上 ，CentOS 预 设 的 sshd 服务 已 经 算是 挺 安全 的 了 ， 不 过 还 不 够 ! 
建议 你 (1) 将 


root 的 登入 权限 取消 ; (2) 将 ssh 版 本 设 定 为 2 。 其 他 的 设 定 值 束 请 你 依 
照 目 己 的 


喜好 来 设 定 了 。 ” 通 币 不 建议 进行 随便 修改 啦 ! 另外 ， 如 果 你 修改 过 上 


面 这 个 档案 


(Wetc/ssh/sshd_config)， 那 么 就 必需 要 重新 启动 一 次 sshd 这 个 daemon 才 
行 ! 亦 即 


是 : 
/etc/init.d/sshd restart 
11.2.6 制作 不 用 密码 可 立即 登入 的 ssh 用 户 


你 或 许 已 经 想到 了 ， 既 然 ssh 可 以 使 用 scp 来 进行 网 络 复制 的 话 ， 那 么 
我 能 不 能 

将 scp 的 指令 放置 于 crontab 服务 中 ， 让 我 们 的 系统 透 过 scp 直接 在 背 
景 展 下 目 行 


定期 的 进行 网 络 复制 与 备份 呢 ? 抱歉 ， 答 案 是 : 『 预 设 状况 下 不 允许 此 
动作 ] 的 ! 为 


甚么 呢 ? 因为 预 设 状况 下 ， 你 必须 要 透 过 远程 登录 ， 与 scp 互动 的 输入 
密码 才 行 啊 ! 


但 crontab 叉 不 会 让 你 有 终端 接口 输入 密码 ， 所 以 该 程序 就 会 一 直 卡 住 
而 无 法 在 
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3. 将 公 答 档案 放 蚌 於 1. 利用 vbirdtsai 的 身份 建立 


-dmtsai/sshjauthorized 爹 交 档案， 该 向 案 福 投放 至 
_keys 档案 内 痊 ~-vbirdtsai.sslwv 目录 内 





crontab 内 执行 成 功 咀 ! 那 怎 办 ? 我 们 要 放弃 这 个 好 用 的 网 络 复制 工具 
吗 ? 当然 不 是 


啦 ! 我 们 可 以 透 过 密 钥 认证 系统 来 处 理 的 ! 


既然 SSH 可 以 使 用 密 钥 系统 来 比 对 数据 ， 并 且 提 供用 户 数据 的 加 密 功 
能 ， 那 么 可 


不 可 能 利用 这 个 Key 束 提 供用 户 自己 进入 主机 ， 而 不 需要 输入 密码 呢 ? 
呵呵 ! 好 主意 ! 


我 们 可 以 将 Client 产生 的 Key 给 他 找 贝 到 Server 当中 ， 所 以 ， 以 后 
Client 登入 


Server 时 ， 由 于 两 者 在 SSH 要 联机 的 讯号 传递 中 ， 就 已 经 比 对 过 Key 
于 因由 可 


以 立即 进入 数据 传输 接口 中 ， 而 不 需要 再 输入 密码 呢 ! 在 实 作 上 的 步 又 
可 以 是 : 
1. 客户 端 建立 两 把 钥 是 : 想 一 想 ， 在 密 钥 系统 中 ， 是 公 钥 比较 重要 还 是 
私 钥 比 


较 重 要 ? 当然 是 私 钥 比较 重要 ! 因此 私 钥 才 是 解密 的 关键 啊 ! 所 以 
网， 这 两 把 


角 患 污 然 得 在 发 起 聊 机 的 客户 问 建 置 才 对 。 利 用 的 指令 为 ssh-keygen 这 
hi; 








2. 客户 端 放置 好 私 钥 档案 : 将 Private Key 放 在 Client 上 面 的 家 目录 ， 亦 
即 $HOME/.ssh/ ， 并 且 得 要 注意 权限 喔 ! 


3 0 最 后 ， 将 那 把 Public 
Key 


I User 的 家 目录 内 之 .ssh/ 里 











认证 档案 即 可 完成 整个 程序 。 
说 是 好 像 很 困难 的 样子 ， 其 实 步 又 真 的 很 简单 ， 我 们 依 序 来 进行 作业 好 


了 ! 假设 前 
提 如 下 ， 该 进行 的 步骤 则 如 下 图 : 

Server 部 分 为 www.centos.vbird 这 部 192.168.100.254 的 主机 ， 欲 使 用 
的 账号 为 dmtsai ; 

Client 部 分 为 dientlinux.centos.vbird 这 部 192.168.100.10 的 


MER) 


vbirdtsai 这 个 账号 ， 该 账号 要 用 来 登入 192.168.100.254 这 部 主机 的 





dmtsai 账号 。 


图 11.2-10、 制 作 不 需要 密码 的 ssh 账号 基本 流程 


1. 客户 端 建立 两 把 钥匙 : 
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建立 的 方法 很 简单 ， 在 clientlinux.centos.vbird 这 部 主机 上 面 以 vbirdtsai 


的 号 份 来 建立 两 把 钥匙 即 可 。 不过， 需要 注意 的 是 ， 我 们 有 多 种 密码 
算法 ， 如 果 不 指 


定 特殊 的 算法 ， 则 默认 以 RSA 算法 来 处 理 : 

[vbirdtsai@clientlinux ~]$ ssh-keygen [-t rsaldsa] <== 可 选 rsa 或 dsa 
[vbirdtsai@clientlinux ~]$ ssh-keygen <== 用 预 设 的 方法 建立 密 铀 
Generating public/private rsa key pair. 

Enter file in which to save the key (home/vbirdtsai/.ssh/id_rsa): <== 
按 enter 


Created directory /home/vbirdtsai/.ssh'. <== 此 目录 若 不 存在 则 会 主动 


建立 

Enter passphrase (empty for no passphrase): <== 按 Enter 不 给 密码 
Enter same passphrase again: <== 再 输入 一 次 Enter 吧 ! 

Your identification has been saved in /home/vbirdtsai/.ssh/id_rsa. <== 
私 钥 档 

Your public key has been saved in /home/vbirdtsai/.ssh/id_rsa.pub. <== 
公 钥 档 

The key fingerprint is: 
0f:d3:e7:1a:lc:bd:5c:03:f1:19:f1:22:df:9b:cc:08 
vbirdtsai(@clientlinux.centos.vbird 

[vbirdtsai@clientlinux ~]$ ls -ld ~/.ssh; ls -1] ~/.ssh 

drwx------ . 2 vbirdtsai vbirdtsai 4096 2011-07-25 12:58 
/home/vbirdtsai/.ssh 

-TW------- . 1 vbirdtsai vbirdtsai 1675 2011-07-25 12:58 id_rsa 

<== 私 钥 档 

-TW-r--r--. 1 vbirdtsai vbirdtsai 416 2011-07-25 12:58 id_rsa.pub 

<== 公 钥 档 


请 注意 上 面 喔 ， 我 的 映 份 是 vbirdtsai ， 所 以 当 我 执行 ssh-keygen 时 ， 才 
会 在 我 的 


家 目录 底下 的 .ssh/ 这 个 目录 里 面 产生 所 需要 的 两 把 Keys ， 分 别 是 私 钥 
(id_rsa) 


与 公 钥 (id_rsa.pub)。 ~/.ssh/ 目录 必须 要 是 700 的 权限 才 行 ! 另外 一 个 
要 特别 注 


意 的 就 是 那个 id_ rsa 的 档案 权限 啦 ! 他 必须 要 是 -rw------- 且 属 于 
vbirdtsai 自 


己 才 行 ! 否则 在 未 来 密 钥 比 对 的 过 程 当中 ， 可 能 会 被 判定 为 危险 而 无 法 
成 功 的 以 公私 钥 


成 对 档案 的 机 制 来 达成 联机 喔 。 其实， 建立 私 钥 后 预 设 的 权限 与 文件 
名 放置 位 置 都 是 


正确 的 ， 你 只 要 检查 过 没 问 题 即 可 。 





2. 将 公 钥 档案 数据 上 传 到 服务 器 上 : 
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因为 我 们 要 登入 www.centos.vbird 是 以 dmtsai 的 身份 ， 因 此 我 们 就 得 要 
将 上 个 


步骤 建立 的 公 钥 (id_rsa.pub) 上 传 到 服务 器 上 的 dmtsai 用 户 才 行 。 那 如 
何 上 传 呢 ? 


最 简单 的 方法 当然 就是 使 用 scp 嘱 ! 
[vbirdtsai@clientlinux ~]$ scp ~/.ssh/id_rsa.pub dmtsai(@192.168.100.254:~ 


# 上 传 到 dmtsai 的 家 目录 底下 即 可 。 








3. 将 公 钥 放置 服务 占 端 的 正确 目录 与 文件 名 : 


还 记得 sshd_config 里 面谈 到 的 AuthorizedKeysFile 这 个 设 定 值 吧 ? 该 设 
定 值 


了 怠 是 在 指定 公 钥 数据 应 该 要 放置 的 文件 名 呢 ! 所 以 ， 我 们 必须 要 到 服务 
器 端的 dmtsai 


这 个 用 户 身 份 下 ， 将 刚刚 上 传 的 id_rsa.pub 数据 附加 到 authorized_keys 
这 个 档案 


内 才 行 。 作 法 有 点 像 这 样 : 

#1. 建立 ~/.ssh 档案 ， 注 意 权 限 需要 为 700 喔 ! 
[dmtsai@www ~]$ ls -ld .ssh 

ls: .ssh: 没有 此 一 档案 或 目录 


# 0 因此 这 个 目录 不 存在 。 不 存在 才 作 底 下 建 并 
目录 的 


行为 

[dmtsai@www ~]$ mkdir .ssh; chmod 700 .ssh 

[dmtsai@www ~]$ ls -ld .ssh 

drwx------ .2 dmtsai dmtsai 4096 Jul 25 13:06 .ssh 

# 权限 设 定 中 ， 务 必 是 700 且 属 于 使 用 者 本 人 的 账号 与 群 组 才 行 ! 
# 2. 将 公 钥 档案 内 的 数据 使 用 cat 转 存 到 authorized_keys 内 
[dmtsai@www ~]$ ls -1 *pub 

-rW-r--r--. 1 dmtsai dmtsai 416 Jul 25 13:05 id_rsa.pub <== 确 实 有 存 
在 

[dmtsai@www ~]$ cat id_rsa.pub >> .ssh/authorized_keys 


[dmtsai@Owww ~]$ chmod 644 .ssh/authorized_keys 


[dmtsai@Owww ~]$ ls -1 .ssh 

-TW-I--T--. 1 dmtsai dmtsai 416 Jul 25 13:07 authorized_keys 

# 这 个 档案 的 权限 设 定 中 ， 就 得 要 是 644 才 可 以 ! 不 可 以 搞 混 了 ! 
net.qiang(Ohotmail.com 

0 

这 样 就 搞定 密 钥 系统 嘿 ! 以 后 你 从 dlientlinux.centos.vbird 的 vbirdtsai 登 


入 到 www.centos.vbird 的 dmtsai 用 户 时 ， 束 不 需要 任何 的 密码 吕 ! 举 
例 来 说 ， 你 


可 以 这 样 测 试看 看 哆 : 

例题 : 

透 过 上 述 的 案例 练习 成 功 后 ， 请 在 clientlinux 的 vbirdtsai 身份 中 ， 将 系 
统 的 /etc/hosts* 档案 复制 给 www.centos.vbird 的 dmtsai 用 户 的 家 目录 。 


A 和 5 。 
本 法: 








[vbirdtsai@clientlinux ~]$ scp /etc/hosts* dmtsai(@192.168.100.254:~ 
hosts 100% 187 0.2KB/s 

00:00 

hosts.allow 100% 161 0.2KB/s 

00:00 

hosts.deny 100% 347 0.3KB/s 

00:00 

# 你 会 发 现 ， 原 本 会 出 现 的 那个 密码 提示 数据 不 会 出 现 了 喔 ! 





[vbirdtsai@clientlinux ~]$ ssh dmtsai(@192.168.100.254 "ls -1" 
-Tw-T--T--. 1 dmtsai dmtsai 196 2011-07-25 13:09 hosts 
-TW-I--T--. 1 dmtsai dmtsai 370 2011-07-25 13:09 hosts.allow 
-TW-r--r--. 1 dmtsai dmtsai 460 2011-07-25 13:09 hosts.deny 
-TW-r--r--. 1 dmtsai dmtsai 416 2011-07-25 13:05 id_rsa.pub 

# 人 确实 有 复制 到 对 方 去 了 ! 有 显示 出 正确 的 远程 数据 哩 ! 


很 简单 的 步骤 吧 ! 这 样 一 来 ， 使 用 ssh 相关 的 客户 端 指令 就 可 以 不 需 密 
码 的 手续 


了 ! 无 论 如 何 ， 在 建立 密 钥 系统 的 步骤 中 你 要 记得 的 是 : 

Client 必须 制作 出 Public & Private 这 两 把 keys， 且 Private 需 放 到 
~/.ssh/ 内 ; 

Server 必须 要 有 Public Key ， 且 放置 到 用 户 家 目录 下 的 
~/.ssh/authorized_keys， 同 时 目录 的 权限 (.ssp/) 必须 是 700 而 档案 权限 则 
必须 为 644 ， 同 时 档案 的 拥有 者 与 群 组 都 必须 与 该 账号 吻合 才 行 。 


未 来 ， 当 你 还 想 要 登入 其 他 的 主机 时 ， 只 要 将 你 的 ”public key (就 是 
id_rsa.pub 


这 个 档案 ) 给 他 copy 到 其 他 主机 上 面 去 ， 并 且 新 增 到 茶 账 扎 的 


~/.ssh/authorized_keys 这 个 档案 中 ! 哈哈 ! 成 功 ! 








11.2.7 简易 安全 设 定 
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老实 说 ， 大 家 都 被 [SSH 是 个 安全 的 服务 】 所 欺骗 了 ! 其 实 sshd 并 不 


念 六 安全 H4 


翻 开 openssh 的 过 去 历史 来 看 ， 确 实 有 很 多 人 是 利用 ssh 的 程序 漏洞 来 
取得 远程 主机 


root 的 权限 ， 进 一 步 黑 掉 对 方 的 主机 ! 所 以 这 玩意 儿 说 实话 ， 也 不 是 很 
安全 的 啦 ! 


sshd 之 所 谓 的 『 安 全 」 其实 指 的 是 『 sshd 的 数据 是 加 密 过 的 ， 所 以 他 
的 数据 在 


Internet 上 面 传递 时 是 比较 安全 的 。 至 于 sshd 这 个 服务 本 身 就 不 是 那样 
2 所 


以 说 : 『 非 必要 ， 不 要 将 sshd 对 Internet 开放 可 登入 的 权限 ， 尽 量 局 限 
在 几 个 小 范 


图 内 的 人 或 主机 名 即 可 ! 这 很 重要 的 喔 ! 


好 了 ， 那 么 天 于 安全 的 设 定 方 面 ， 有 没有 什么 值得 注意 的 昵 ?” 妆 然 是 有 
啦 ! 我 们 可 


以 先 建议 几 个 项 目 吧 ! 分 别 可 以 由 底下 这 三 方面 来 进行 : 
服务 器 软件 本 里 的 设 定 强化 : /etc/ssh/sshd_config 

















TCP wrapper 的 使 用 : /etc/hosts.allow, /etc/hosts.deny 


iptables 的 使 用 : iptables.rule, iptables.allow 


服务 器 软件 本 里 的 设 定 强化 : /etc/ssh/sshd_config 


一 般 而 言 ， 这 个 档案 的 默认 项 目 就 已 经 很 完备 了 ! 所 以 ， 事实 上 是 不 太 
需要 更 动 他 


的 ! ” 但是， 如果 你 有 些 使 用 者 方面 的 顾虑 ， 那 么 可 以 这 样 修正 一 些 问 


题 呢 ! 


禁止 root 这 个 账号 使 用 sshd 的 服务 ; 
禁止 nossh 这 个 群 组 的 用 户 使 用 sshd 的 服务 ; 
禁止 testssh 这 个 用 户 使 用 sshd 的 服务 ; 


除了 上 述 的 账号 之 外 ， 其 他 的 用 户 则 可 以 正常 的 使 用 系统 。 现 在 乌 哥 假 
设 你 的 系统 


里 面 已 经 有 sshnot1，sshnot2，sshnot3 加 入 nossh 群 组 ， 同时 系统 还 有 


testssh, 


student 等 账号 。 相 关 的 账号 处 理 请 上 自行 参考 基础 篇 来 设 定 ， 底 下 仅 是 列 
出 观察 的 重点 : 


#1. 先 观 察 一 下 所 需要 的 账号 是 否 存 在 呢 ? 




















[root@www ~]# for user in sshnot1 sshnot2 sshnot3 testssh student; do 
\ 

> id $user | cut -d '' -f1-3 ; done 

uid=507(sshnot1) gid=509(Sshnot1) groups=509(sshnot1),508(nossh) 
uid=508(sshnot2) gid=510(sshnot2) groups=510(sshnot2),508(nossh) 
uid=509(sshnot3) gid=511(sshnot3) groups=511(sshnot3),508(nossh) 
uid=511(testssh) gid=513(testssh) groups=513(testssh) 
uid=505(student) gid=506(student) groups=506(student) 


# 若 上 述 账 号 并 不 存在 你 的 系统 ， 请 自己 建 置 出 来 ! UID/GID 与 鸟 哥 的 
不 同 也 


没关系 ! 


net.qiang(Ohotmail.com 


# 2. 修改 sshd_config 并 且 重 新 启动 shd 吧 ! 
[root@www ~l]# vim /etc/ssh/sshd_config 


PermitRootLogin no <== 约 在 第 39 行 ， 请 拿 掉 批 注 且 修改 成 这 样 





DenyGroups nossh <== 底 下 这 两 行 可 以 加 在 档案 的 最 后 面 
DenyUsers testssh 

[root@www ~]# /etc/init.d/sshd restart 

# 3. 测试 与 观察 相关 的 账号 登入 情况 吧 ! 

[root@www ~]# ssh root@localhost <== 并 请 输入 正确 的 密码 








[root@www ~]# tail /var/log/secure 

Jul 25 13:14:05 www sshd[2039]: pam_unix(sshd:auth): authentication 
failure; 

logname= uid=0 euid=0 tty=ssh ruser= rhost=localhost user=root 

# 你 会 发 现 出 现 这 个 错误 讯 娠 ， 而 不 是 密码 输入 错误 而 已 。 


[root@www ~]# ssh sshnot1@localhost <== 并 请 输入 正确 的 密码 





[root@www ~]# tail /var/log/secure 

Jul 25 13:15:53 www sshd[2061]: User sshnotl from localhost not allowed 
because 

a group is listed in DenyGroups 

[root@www ~]# ssh testssh@localhost <== 并 请 输入 正确 的 密码 


[root@www ~]# tail /var/log/secure 


Jul 25 13:17:16 www sshd[2074]: User testssh from localhost not allowed 
because listed in DenyUsers 


从 上 面 的 结果 来 看 ， 你 就 会 发 现 到 ， 不 同 的 登入 账号 会 产生 不 一 样 的 登 
录 档 结果 。 因 此 ， 


当 你 老 是 无 法 顺利 使 用 ssh 登入 茶 一 部 主机 时 ， 记 得 到 该 服务 器 上 去 检 
查看 看 登录 档 ， 


说 不 定 束 会 顺利 的 让 你 解决 问题 哆 ! 在 我 们 的 测试 机 上 面 ， 请 还 是 放行 
root 的 登入 喔 ! 








/etc/hosts.allow 及 /etc/hosts.deny 


举例 来 说 ， 你 的 ”sshd 只 想 让 本 机 以 及 区 网 内 的 主机 来 源 能 够 登入 的 
话 ， 那 就 这 样 


作 : 

[root@www ~]# vim /etc/hosts.allow 
sshd: 127.0.0.1 192.168.1.0/255.255.255.0 
192.168.100.0/255.255.255.0 
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[root@www ~]# vim /etc/hosts.deny 


sshd : ALL 


iptables 封包 过 滤 防 火 墙 


0 所 以 也 可 以 使 用 iptables 喔 ! 参考 :第 九 童 、 
火 墙 与 N 


服务 器 内 的 实际 脚本 程序 ， 你 应 该 在 iptables.rule 内 将 port 22 的 放行 功 
会 已 YN 
能 取消 » 


然后 再 到 iptables.allow 里 面 新 增 这 行 








[root@www ~]# vim /usr/local/virus/iptables/iptables.allow 

iptables -A INPUT -i $EXTIF -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT 
iptables -A INPUT -i $SEXTIF -s 192.168.100.0/24 -p tcp --dport 22 -j 
ACCEPT 

[root@www ~]# /usr/local/virus/iptables/iptables.rule 


上 述 的 方法 处 理 完毕 后 ， 如 果 你 还 是 一 部 测试 机 ， 那 么 记得 要 将 设 定 值 
还 原 回 来 哆 ! 最 


后 ， 『 乌 哥 呼 吁 大 家 ， 不 要 开放 SSH 的 登入 权限 给 所 有 Internet 上 面 的 
主机 一 上 这 


很 重要 喔 一 因为 如 果 对 方 可 以 ssh 进入 你 的 主机 ， 那 么 ... 太 和 危险 了 一 
11.3 最 原始 图 形 接口 。 Xdmcp 服务 的 启用 


考虑 一 个 情况 ， 如 果 你 的 Linux 主机 主要 是 用 来 作为 图 形 处 理 时 ， 而 且 
同时 有 多 


人 需要 用 到 那个 功能 ， 那 么 一 部 Linux 是 否 一 次 仅 能 提供 一 个 人 处 理 那 
个 软件 呢 ? 嘿 


咖 ! 那 可 不 一 定 喔 ! 因为 Linux 有 相当 优秀 的 X Window System 啊 ! 现 
在 就 来 谈 谈 第 





一 个 图 形 接口 的 远程 联机 服务 器 吧 ! 
11.3.1X Window 的 Server/Client 架构 与 各 组 件 
由 于 我 们 Linux 使 用 的 图 形 接口 是 所 谓 的 X-Window System 的 东西 ， 这 


玩意 儿 是 


能 够 跨 平 台 的 ， 目 前 在 Linux 上 头 开发 的 图 形 接口 软件 ， 几 乎 都 是 使 用 
这 个 X 的 架构 


来 处 理 ， 所 以 哆 ， 你 就 不 能 够 不 知道 X Window 啦 ! 我 们 在 基础 篇 第 三 
版 的 二 十 四 章 


己 经 讲 过 X Window 啦 ， 因此 这 里 只 会 作 个 简单 的 介绍 ， 以 方便 大 家 来 
了 解 为 何 我 们 


的 软件 是 这 么 安装 与 设 定 咀 ! 
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X Window System 在 运作 的 过 程 中 ， 又 因 控 制 的 数据 不 同 而 分 为 X 
Server 与 又 


Client 两 种 程序 ， 虽 然 说 是 X Server/Client ， 但 是 他 的 作用 却 与 网 络 主 
机 的 


Server/Client 架构 大 异 其 趣 喔 一 先 来 说 说 X Server/Client 这 两 种 程序 所 
负责 的 任 


Lt 


X Server: 这 组 程序 主要 负责 的 是 屏幕 画面 的 绘制 与 显示 。 X Server 
i 

















ee X client 的 数据 ， 将 这 些 数 据 绘制 呈现 为 图 面 在 屏幕 上 。 此 


> 鼠标 、 点 击 数据 、 由 键盘 和 输入 数据 等 等 ， 也 会 透 过 X Server 来 
达到 


X Client 端 ， 而 由 X Client 来 加 以 运算 出 应 绘制 的 数据 ; 

X Client: 这 组 程序 主要 负 贡 的 是 数据 的 运算 。 X Client 在 接受 到 又 
传 来 的 数据 后 (例如 移动 鼠标 、 点 击 icon 等 动作 )， 会 经 由 本 身 的 
运 售 

















而 得 到 鼠标 应 该 要 如 何 移动 、 ”点 击 的 结果 应 该 要 出 现 什么 样 的 数据 、 
键盘 输入 


的 结果 应 该 要 如 何 呈 现 等 等 ， 然 后 将 这 些 结果 告知 X Server ， 让 他 自行 
去 绘制 


到 屏幕 上 。 

Tips: 

鸟 哥 常常 开玩笑 的 说 ，X server 就 是 画布 ， 而 X client 就 是 手 

拿 画 笔 的 画家 。 你 得 要 先 有 画布 (管理 好 所 有 可 显示 的 硬件 后 ) 之 
后 画家 的 想法 (计算 出 来 的 绘图 数据 ) 才能 够 绘制 到 画布 上 ! 


由 于 每 一 文 X client 都 是 独立 存在 的 程序 ， 因 此 在 图 形 显示 会 发 生 一 些 
迭 图 的 问题 


(想象 一 下 每 一 个 X client 都 是 一 个 很 目 我 的 画家 ， 每 个 国家 都 不 承认 
对 方 的 存在 ， 


都 目 顾 目 的 在 画布 上 面 作 了 画 ， 最 后 的 结果 会 是 如 何 ? )。 因 此 ， 后 来 束 
有 一 组 特殊 的 XX 


client ”在 进行 管理 所 有 的 其 他 XX client 程序 ， 这 个 总 管 的 吹 吹 就 是 
































Window Manager! 


Window Manager (WM): 是 一 组 控制 所 有 X client 的 管理 程序 ， 并 同 
时 提 


供 例如 任务 栏 、 “背景 果 面 、 虚 拟 桌 面 、 窗 口 大 小 、 窗 口 移动 与 重 友 时 
示 等 任务 。 


Window ”manager ”主要 由 一 些 大 型 的 计划 案 所 开发 而 来 ， 常 见 的 有 
GNOME, KDE,, 








XFCE 等 


既然 X Window System 是 Linux 上 面 的 一 组 程序 ， 那 么 它 如 何 启 动 的 
呢 ? 早期 的 


用 户 在 登入 系统 后 ， 必 须要 自己 先 启 动 X server 程序 ， 然 后 再 局 动 个 别 
的 Window 


manager ， 奋 有 其 他 需求 ， 再 局 动 其 他 和 额外 的 X client 就 是 了 。 这 么 麻 
烦 ! 所 以 为 了 


简化 局 动 个 人 图 形 接口 的 步 又， 后 来 还 有 所 谓 的 Display Manager (DM) 
这 玩意 喔 ! 


Manager (DM): 提供 使 用 者 登入 的 画面 以 让 用 户 可 以 和 厌 由 图 
形 接口 


登入 。 在 使 用 者 登入 后 ， 可 透 过 display manager 的 功能 去 呼叫 其 他 的 
Window 


manager ， 让 用 户 在 图 形 接口 的 登入 过 程 变 得 更 简单 。 由 于 DM 也 是 局 


= 


等 待 输入 账号 密码 的 图 形 数据 ， 因 此 DM 会 主动 去 唤醒 一 个 又 Server 然 
后 在 上 


头 加 载 等 待 输入 的 画面 就 是 了 。 
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在 日 前 新 释 出 的 Linux distributions 中 ， 通 常 启动 图 形 接口 让 用 户 登 入 的 
i 


中 ， J Display Manager 程序 ， 该 程 序 会 主动 加 载 一 个 X 
Server 程序 ， 


后 再 提供 一 个 等 待 输入 账号 密码 的 接口 程序 ， 之 后 再 根据 用 户 的 选择 去 
局 动 所 需要 的 


Window Manager 程序 ， 最 后 就 由 用 户 直接 操作 WM 来 玩 图 形 接口 喝 。 
例题 : 

在 CentOS 6.x 当中 ， 若 预 设 为 init 5 的 情况 下 ， 那 么 最 终 启动 图 形 接 
口 的 是 哪 一 只 程序 ? 


2 
Er 





分 析 /etwinit* 当中 的 档案 ， 会 发 现 有 个 档案 的 内 容 是 这 样 : 
[root@www ~]# cat /etc/init/prefdm.conf 

start on stopped rc RUNLEVEL=5 

stop on starting rc RUNLEVEL=[!5] 

console output 

respawn 

respawn limit 10 120 


exec /etc/X11/prefdm -nodaemon 


你 可 以 分 析 /etc/X11/prefdm 的 内 容 ， 束 能 够 友 现 其 实 该 行 启动 的 就 是 








一 个 Xdisplay manager 程序 了 喔 ! 

例题 : 

登入 init 5 的 CentOS 6.x 之前， 先 到 ttyl 去 查阅 一 下 Xserver 是 由 哪 
一 文 程序 所 唤醒 的 ? 


人 。 
Er 








我 们 可 以 透 过 ” pstree “来 观察 程序 间 的 相关 性 喔 ! 同时 注意 ， 预 设 的 
CentOS 6.x 


的 X server 程序 名 称 为 Xorg 的 哩 。 

[root@www ~#pstree -p 

init(1)-+-NetworkManager(1086) 

…( 中 间 省 略 )..… 
|-gdm-binary(2642)---gdm-simple-slav(2661)-+-Xorg(2663) 
| 

|-gdm-session-wor(2746) 

.…( 后 面 省 略 )…. 


由 上 述 的 数据 来 看 ，gdm-binary 可 以 唤醒 Xorg 喔 ! 同 理 ， 我 们 也 会 知 
道 提供 认证 


的 图 形 画 面 应 该 是 由 gdm-session 所 提供 的 喔 ! 


X Window System 用 在 网 络 上 的 方式 : XDMCP 
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Window (X-win 32) 
(X server) 


Mac 
{X server) 


Linux Xdmep 
(X client) 


Linux Unix 
{X server) (X Server) 
当 XX server, X client 都 在 同一 部 主机 上 面 的 时 候 ， 你 可 以 很 轻松 的 启动 
人 心 
广元 


整 的 X Window System。 但 是 如 果 你 想 要 透 过 这 个 机 制 在 网 络 上 面 启 动 
X 了 呢 ? 此 时 你 


得 先 在 客户 端 局 动 一 个 X server 将 图 形 接口 绘图 所 需要 的 硬件 装置 配置 
好 ， 并 且 启 


动 一 个 X server 常见 的 接收 埠 口 (通常 是 port 6000)， 然 后 再 由 服务 器 端 
的 又 


client 取得 绘图 数据 ， 再 将 数据 绘制 成 图 吃 。 透 过 这 个 机 制 ， 你 可 以 在 
任何 一 部 局 动 


X server 登入 服务 器 喔 ! 而 且 不 管 你 的 操作 系统 是 啥 呢 ! 意义 束 像 下 
图 ， 如 此 一 来 ， 


你 就 可 以 取得 服务 器 所 提供 的 图 形 接 口 环 境 啦 ! 


图 11.3-1、X server/client 的 架构 

















但 是 如 果 你 是 使 用 最 茶 的 方法 在 客户 端 自 己 局 动 X server ， 然 后 在 告诉 
服务 器 将 


X client 程序 一 个 一 个 的 加 载 回来 ， 那 束 太 累 人 了 吧 ! 我 们 之 前 上 面 不 
是 提 到 过 可 以 


昌 代 < manager 来 管理 使 用 者 的 登入 与 启动 X 吗 ? 那 服务 器 能 不 能 
是 供 


似 的 服务 ， 那 我 们 直接 透 过 服务 器 的 display manager 束 能 够 提供 我 们 
登入 的 认证 与 


加 载 自己 选择 的 window manager 的 话 ， 这 样 束 太 棱 了 ! 能 够 达到 吗 ? 
当然 可 以 啊 ! 


那 就 是 透 过 Xdmcp (X display manager control protocol) ( 注 3) 啦 ! 


Xdmcp 启动 后 会 在 服务 器 的 udp 177 开始 监听 ， 然 后 当 客 户 端的 又 
server 联机 


到 服务 器 的 port 177 之 后 ， 我 们 的 Xdmcp 就 会 在 客户 端的 X server 放 
上 用 户 输 入 


账 密 的 图 形 接 口 程序 吕 ! 那 你 就 能 透 过 这 个 Xdmcp 去 加 载 服务 器 所 提 
供 的 类 似 Window 


Manager 的 相关 X client 哆 ! 那 你 就 能 够 取得 图 形 接口 的 远程 联机 服务 
器 哩 ! 赞 吧 ! 


那么 什么 时 候 会 出 现 多 使 用 者 连 入 服务 器 取得 X 的 情况 呢 ? 以 乌 机 的 
例子 来 说 ， 


鸟 哥 实验 室 有 一 组 Linux 在 进行 数值 模拟 ， 他 输出 的 结果 是 NetCDF 档 
案 ， 我 们 必须 


使 用 PAVE 这 一 套 软 件 去 处 理 这 些 数据 。 但 是 我 们 有 两 三 个 人 同时 都 会 
使 用 到 那个 功能 


偏偏 Linux 主机 是 放 在 机 染 柜 里 面 的 ， 要 我 们 挤 在 那个 小 小 的 空间 前 面 





[站 着 」 操 作 


计算 机 ， 可 真是 讨 人 厌 啊 ~ 这 个 时 候 ， 我 们 就 会 架设 图 形 接口 的 远程 
登录 服务 器 ， 让 
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我 们 可 以 『 多 人 同时 以 图 形 接口 登入 Linux 主机 」 来 操作 我 们 自己 的 程 
序 ! 很 棒 ， 不 


是 吗 ! 


11.3.2 设 定 gdm 的 XDMCP 服务 








既然 是 所 谓 的 Xdmcp 协议 ， 那 么 是 否 意味 着 与 X display manager 有 关 
呢 ? 没 错 


啦 ! Xdmcp 协议 是 由 DM 程序 所 提供 的 。 我 们 的 CentOS 预 设 的 DM 
为 GNOME 这 个 


计划 所 提供 的 gdm 哩 ! 因此 ， 你 想 要 启动 Xdmcp 服务 ， 那 就 得 要 针对 
gdm 这 个 程序 


来 设 定 哎 。 这 个 gdm 的 设 定数 据 都 放置 在 /etc/gdm/ 目录 下 ， 而 我 们 所 
要 修改 的 配 


置 文件 其 实 仅 是 一 个 /etc/gdm/custom.conf ( 注 4) 档案 而 已 。 








Tips: 


X11 提供 的 display manager 为 xdm ， 而 著名 的 KDE 与 GNOME 


也 都 有 自己 的 display manager 管理 程序 ， 分 别 是 kdm 与 gdm 。 
你 可 以 透 过 三 者 中 任何 一 者 的 display manager 的 配置 文件 来 启 
动 xdmcp 这 个 协定 呢 一 


不 过 ， 因 为 我 们 安装 的 基准 是 『Basic server」， 上 所 以 很 多 图 形 接口 软件 
并 没有 被 安装 


ee 因此 ， 在 实 作 Xdmcp 之 前 ， 我 们 得 先 安 六 图 形 接 口才 行 喔 ! 使 
yum 





groupinstall 来 安装 吧 ! 

# 先 检查 看 看 与 X 相关 的 软件 群 组 有 哪些 ? 
[root@www ~]# yum grouplist 

Desktop 

Desktop Platform 


X Window System 


# 这 三 个 算是 最 重要 的 项 目 了 ! 得 要 安 闭 起 来 才 行 喔 ! gdm 是 在 Destop 
中 ! 


[root@wWwww ~]# yum groupinstall "Desktop" "Desktop Platform" \ 
>"X Window System" 

上 面 进行 完毕 后 ， 现 在 才能 开始 搞定 custom.conf 啦 ! 来 试 玩 看 看 ! 
[root@www ~]#vim /etc/gdm/custom.conf 

[security] <== 在 与 资 安 方面 有 关 的 信息 ， 大 多 指 登录 相关 事宜 


AllowRemoteRoot=yes <==xdmcp 预 设 不 许 root 登入 ， 








得 用 这 个 项 目 才能 以 

root 登入 

DisallowTCP=false <== 这 个 项 目 在 允许 客户 端 使 用 TCP 的 方式 联机 到 
xdmcp 
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[xdmcp] <== 就 是 这 个 小 节 的 重点 之 一 喝 ! 
Enable=true <== 启 动 xdmcp 的 最 重要 项 目 喝 ! 

上 述 特 殊 字 体 的 部 份 就 是 你 得 要 上 自己 新 增 的 内 容 哆 ! 














[root@www ~|]# init 5 


# 上 述 这 个 指令 会 切换 到 X 图 形 画 面 ， 如 果 确 定 要 使 用 gdm，runlevel 
得 调 


整 到 5 才 好 

# 果真 如 此 的 话 ， 那 就 得 要 调整 /etc/inittab 吵 ! 
[root@www ~|]# netstat -tulnp 

Active Internet connections (only servers) 

Proto Recv-Q Send-Q Local Address Foreign Address State 
PID/Program name 

tcp 0 0 0.0.0.0:6000 0.0.0.0:* LISTEN 

4557/Xorg 

tcp 0 0 :::6000 :::* LISTEN 


4557/Xorg 


udp 0 0 0.0.0.0:177 0.0.0.0:* 

4536/gdm-binary 

# 上 述 的 port 6000 是 由 DisallowTCP=false 项 目 启动 的 ，port 177 才 是 
我 们 要 的 


上 述 的 动作 鸟 哥 是 在 runlevel 3 底下 启动 的 ， 如 果 你 是 在 runlevel 5 底下 
时 ， 因 此 


你 也 可 以 利用 『 init 3 && init 5 」 来 重新 局 动 图 形 接口 。 但 如 果 你 是 在 


runlevel 3 


底下 并 且 不 希望 变更 成 为 runlevel 5 呢 ? 那 又 该 如 何 启动 port 177 啊 ? 
如 果 是 这 样 


的 话 ， 那 么 你 可 以 这 样 启 动 xdmcp 啦 : 
[root@www ~]#init 3 
[root@www ~]# runlevel 


5 3 <== 左边 的 是 前 一 个 runlevel， 右 边 的 是 目前 的 ， 因 此 目前 是 


runlevel 3 

[root@www ~]# gdm <== 这 样 就 启动 xdmcp 嘱 ! 
[root@www ~]# vim /etc/rc.d/rc.local 
/usr/sbin/gdm 


现在 你 知道 如 何在 不 同 的 runlevel 启动 xdmcp 了 吧 ? 如 果 是 runlevel 5 
， 因 为 在 


/etc/inittab 就 已 经 有 自动 启动 gdm 了 ， 所 以 你 只 要 顺利 启动 runlevel 5 
即 可 。 


但 如 果 你 是 在 runlevel 3 的 话 ， 因 为 这 样 gdm 就 不 会 被 系统 的 启动 流程 


局 动 ， 那 你 


只 好 自己 在 /etc/rc.d/rc.local 里 面 指定 启动 他 哆 ! 这 样 了 解 呼 ? 不 过 ， 既 
然 你 都 要 


使 用 xdmcp 了 ， 所 以 建议 您 直接 启动 在 runlevel 5 即 可 ! 接 下 来 ， 你 得 
要 开放 客户 


器 对 你 的 port 177 联机 才 行 ! 请 自行 修改 你 的 防火 墙 规则 ， 开 放 udp 
port 177 吧 ! 


乌 哥 这 里 假设 你 使 用 乌 哥 的 防火 场 脚 本 ， 那 你 这 样 作 束 好 了 : 
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避 

[root@www ~]# vim /usr/local/virus/iptables/iptables.rule 

iptables -A INPUT -p UDP -i $EXTIF --dport 177 --sport 1024:65534 \ 
-Ss 192.168.100.0/24 -j ACCEPT #xdmcp 

# 注意 蚂 ! 特点 是 使 用 UDP 塌 口 以 及 加 入 来 源 症 IP 网 域 的 控 管 ! 
[root@www ~]# /usr/local/virus/iptables/iptables.rule 

[root@www ~]# iptables-save | grep 177 


-A INPUT -s 192.168.100.0/24 -i eth0 -p udp -m udp --sport 1024:65534 -- 
dport 177 -j ACCEPT 


# 确实 有 开放 port 177 ， 而 且 是 udp 的 塌 口 喔 ! 要 注意 这 两 个 项 目 。 
11.3.3 用 户 系统 为 Linux 的 登入 方式 
由 于 Linux 本 身 的 窗口 就 是 由 Xserver 提供 来 的 ， 因 此 使 用 Linux 登入 


远程 的 





图 形 服务 器 是 很 简单 的 啦 ! 但 是 因为 启动 X 的 方式 不 同 而 已 数 种 启动 
方式 ， 底 下 我 们 


就 讲 讲 两 个 常见 的 局 动 方式 : 





在 不 同 的 X 环境 下 局 动 联机 :， 直接 用 X 


如 果 你 的 客户 端 已 经 在 runlevel 5 了 ， 因 此 其 实 你 已 经 有 一 个 又 窗口 的 
环境 ， 


这 个 环境 的 显示 终端 机 就 称 为 『 :0 」。 在 CentOS 6.x 的 环境 中 ， 如 果 
原本 就 是 


runlevel 5 的 环境 ， 那 么 这 个 图 形 接口 的 :0 是 在 ttyl 终端 机 啦 ! 如 果 是 
由 

runlevel 3 启动 图 形 接口 ， 那 就 是 在 tty7 喔 ! 由 于 已 经 有 一 个 X 了 ， 
此 你 必须 要 


在 另外 的 终端 机 局 动 另 一 个 X 才 行 ! 那个 新 的 XX 就 称 为 :1 接口 ， 其 实 
通 音 就 在 tty7 


或 tty8 啦 ! 但 因为 Xserver 要 接受 X client 必须 要 有 授权 才 行 ， 所 以 你 
得 先 在 


窗口 接口 开放 接受 来 目 服务 器 的 X client 数据 。 


此 外 ， 虽 然 你 在 客户 端 是 以 主动 的 方式 连接 到 服务 器 的 udp port 177 ， 
但 是 服务 


器 的 X client 却 会 主动 的 连接 到 你 客户 端的 又 server， 因 此 ， 你 必须 要 
开放 来 自 服 


务 器 端 主动 对 你 的 TCP port 6001 (因为 是 :1 接口 ) 的 防火 墙 联 机 才 行 
喔 ! 那 就 来 实 


做 看 看 : 








# 1. 放行 X client 传 来 的 资料 : 在 X Window 的 画面 当中 启用 shell 输 
入 : 


[root@clientlinux ~]# xhost + 192.168.100.254 

192.168.100.254 being added to access control list 

# 注意 ! 你 是 客户 端 ! 且 假 设 我 刚刚 那 部 Linux 主机 的 IP 为 
192.168.100.254 


# 2. 开始 放行 防火 墙 ， 因 为 我 们 启动 port 6001 ， 所 以 你 在 客户 端 这 样 
作 : 





[root@clientlinux ~]# vim /usr/local/virus/iptables/iptables.allow 
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qlp 
i 


www.centos,vbird 


NOD 


~ sshnotl 


-sshnot2 


» sshnot3 


~ student 








(3 人 Tue 2:30PM ”加 
iptables -A INPUT -i $EXTIF -s 192.168.100.0/24 -p tcp --dport 6001 -j 
ACCEPT 
[root@calientlinux ~]# /usr/local/virus/iptables/iptables.rule 
[root@clientlinux ~]# iptables-save 
-A INPUT -s 192.168.100.0/24 -p tcp -m tcp --dport 6001 -j ACCEPT 
# 要 能 看 到 上 面 这 一 行 才 行 哟 ! 
# 3. 在 文字 接口 (例如 tty1) 下 输入 如 下 的 指令 : 
[root@clientlinux ~]# X -query 192.168.100.254 :1 


# 进入 又 Window 呢 ! 


如 果 一 切 顺 利 的 话 ， 那 么 你 在 clientlinux.centos.vbird 就 会 看 到 如 下 的 画 
面 (注意 


主机 名 ): 
图 11.3-2、 在 客户 端 连 上 Xdmcp 成 功 的 画面 


的 账号 与 密码 之 后 ， 你 在 tty8 (:1) 就 会 有 个 窗口 接口 
哆 ! 那 


你 如 果 想 要 回 到 本 机 的 窗口 接口 ， 残 回 到 tty7 (:0) 即 可 切换 成 功 ! (在 


runlevel 5 


ns 在 ttyl ， 而 :1 在 tty7 喔 ! ) 那 想 要 关闭 tty8 该 如 何 是 好 ? 你 不 能 
够 在 
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tty8 注销 啦 ， 因 为 注销 后 ， 系 统 会 重新 开 一 个 等 待 登入 的 画面 ， 你 还 是 
没 办 法 关闭 的 。 


你 得 要 回 到 刚刚 局 动 X 的 ttyl 然后 按 下 [ctrlj-c 中 断 联 机 即 可 ! 








在 同一 个 X 底下 启动 为 一 个 X: 使 用 Xnest 


人 弟 在 tty7, tty8 切换 来 去 的 话 ， 偶 而 会 筷 记 到 确 在 哪个 界面 了 ， 尤 
生生 


你 的 桌面 都 一 模 一 样 时 ， 那 就 更 难 判断 了 。 有 没有 办 法 直接 在 tty7 启 
动 男 一 个 窗口 


来 加 载 远 程 服务 器 的 图 形 接 口 昵 ?可 以 的 ， 那 就 透 过 Xnest 吧 ! 这 指令 
需要 在 X 的 


环境 下 使 用 喔 ! 它 的 简单 用 法 如 下 : 

[root@www ~]# Xnest -query 主机 名 -geometry 分 辨 率 :1 
选项 与 参数 : 

-query : 后 面 接 xdmcp 服务 器 的 主机 名 或 IP 忠 


-geometry : 后 面 接 男 面 的 分 辨 率 ， 例 如 1024x768 或 800x600 等 之 类 的 
分 


辨 率 

# 根据 上 述 数 据 ， 使 用 800x600 连 上 192.168.100.254 那 部 主机 : 
[root@www ~]#yum install xorg-x11-server-Xnest 

[root@www ~]# Xnest -query 192.168.100.254 -geometry 640x480 :1 


如 果 一 切 顺 利 的 话 ， 那 你 就 会 在 tty7 的 本 机 X 环境 下 看 到 如 下 的 画面 
(底下 的 画面 


已 经 登入 的 情况 ! ) 
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证 庭 用 程式 位 置 系统 伙 罗 区 音量 哄 殴 7A266C 





回 root@clientlinux:~ Em 
Es 

档案 (EF) 编辑 (E) 检视 (V) 搜寻 (S) 终端 柑 (T) 求助 (H) 

[root@clientlinux ~]# Xnest -query 192.168.199.254 -geometry 640x480 :1 [A| 


本 X Xnest SE 


( 
(日 
(日 
( 


A 
ZS 


www.centos.vbird 





Pr 


sshnotl 





总 
图 11.3-3、 在 客户 端的 X 顺利 连 上 Xdmcp 的 画面 





到 11.3-2 一 样 ， 就 是 出 现 输入 账 密 的 画面 ， 如 果 输 入 


直 确 的 由 
蜜 后， 就 会 出 现 上 述 的 图 示 了 。 仔 细 看 一 下 画面 当中 的 终端 机 标 头 ， 


你 就 会 发 现 确实 


是 两 部 主机 的 桌面 呢 ! 这 样 有 没有 更 棒 棒 ? 和 人 人 ^! 要 关闭 这 个 又 就 简单 
多 了 ! 直接 按 


下 关闭 ， 或 者 是 中 断 那个 Xnest 的 程序 即 可 。 
11.3.4 用 户 系 统 为 Windows 的 登入 方式 : Xming 


由 于 Windows 本 和 丑 并 没有 提供 预 设 的 X server ， 因 此 我 们 得 要 自行 安 
装 义 








server 在 Windows 上 面 才 行 。 目前 篆 见 的 Xserver 有 底下 这 几 个 : 


X-Win32 (http:/www.xwin32.tw/) 


Exceed 


http:/www.hummingbird.com/products/nc/exceed/index.html?cks= 





Xming (http://sourceforge.net/projects/xming/) 


其 中 X-Win32 与 Exceed 都 属于 商业 软件 ， 而 Xming 则 属于 轻 量 级 的 自 
由 软件 ， 


说 是 轻 量 级 并 非 说 它 不 好 ， 而 是 因为 Xming 的 档案 真 的 很 小 ， 而 该 有 
的 功能 都 有 了 ， 


We 因此 底下 鸟 哥 是 以 Xming ( 注 5) 作 范 例 
来 介绍 的 。 


安装 ; 你 可 以 使 用 预 设 的 方法 ， 一 直下 一 步 的 安装 下 去 ， 就 能 够 顺利 
安装 


好 Xming 这 套 XX server 的 软件 路 。 
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WX Display settings 


Select display settings 
Choose how Kming displays programs. 





全 Multiple windows 


Display number 0 


© One window 
without titlebar 











B27 


2. 启动 : 请 在 『 开 始 上 」--> 『 程 序 集 」--> [Xming」--> [XLaunch」 开 启 


设 定 


人 xdmcp 的 方式 。 底 下 我 们 会 使 用 区 网 内 的 广播 (broadcasb 来 找 
| 





xdmcp 服务 器 的 方式 。 启 动 XLaunch 之 后 会 出 现 如 下 的 图 示 : 
图 11.3-4、Xming 的 Xdmcp 连接 方式 示意 图 





记得 上 面 的 图 示 要 选择 One window 或 Fullscreen 或 One window without 
titlebar 才能 够 使 用 XDMCP 喔 ! 选择 完毕 后 按 『 下 一 步 】 融会 出 现 如 


下 的 画 
面 : 
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Select how to start Xming 
Choose session type and whether a client is started fmmediately. 





© Start no dient 
This will just start Xming, You will be able to start local dients later. 








S start a program 


This will start or remote program which will connect to Xming, You will be able to 


nts later too, Remote programs are started using PUTTY /SSH,. 


©) Open session via XDMCP 


This will start a remote XDMCP session, Starting local clients later is limited, This option 
is not available with the "Multiple windows" mode, 





图 11.3-5、Xming 的 Xdmcp 连接 方式 示意 图 


0 图 示 当 中 共有 三 种 传递 X client 的 方法 ， 在 这 个 小 节 当 中 我 们 要 
连 到 


xdmcp ， 所 以 你 得 要 选择 第 三 个 咀 ! 之 后 再 下 一 步 会 出 现下 图 : 
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Configure a remote XDMCP connection 人 
Enter or search for a host with a display manager configured to allow a remote £ : 


ESION. 





图) Connect to host 192, 158, 100,25 
Use indirect connect 
© Search for hosts (broadcast) 


Some XDMCP servers must be configured to allow remote cnections, Please check the 
documentation about configuring XDMCP servers, 





图 11.3-6、Xming 的 Xdmcp 连接 方式 示意 图 


这 里 当然 就 是 连接 到 你 想 要 连 上 去 的 xdmcp 服务 器 哆 ! 将 他 的 IP 填 上 
去 吧 ! 


之 后 再 下 一 步 去 : 
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Specify parameter settings 
Enter clipboard, remote font server, and all other parameters. 








Clipboard [|No Access Control 

Start the integrated dipboard manager Disable Server Access Control 
Remote font server (if any) 

Additional parameters for Xming 





bdditional parameters For PUTTY or 55H 





IB 
FE [BE [有 








Configuration complete 
Choose whether to save your settings to an KhIL file. 





Click Finish to start Xming. 


You may also 'Save configuration for re-use {run automatically or alter via -load option), 


| |Indude PuTTY Password as insecure dear text 








EE RR 
图 11.3-7、Xming 的 Xdmcp 连接 方式 示意 图 
上 图 的 项 目 与 数据 的 互相 复制 贴 上 有 关 ， 保 留 默 认 值 即 可 。 按 下 下 一 步 


吧 ! 
图 11.3-8、Xming 的 Xdmcp 连接 方式 示意 图 
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0 
6 


出 现 上 图 就 是 设 定 完毕 了 ， 给 它 按 下 『 完 成 」 之 后 ， 
11.32 的 


画面 出 现 ， 你 就 能 够 开始 在 Windows 底下 连 上 图 形 接口 的 Linux Server 
哆 1 


很 轻松 吧 ! 





重点 在 Server 与 Client 的 防火 墙 上 


上 面 都 很 简单 ! 但 是 有 时 候 你 束 是 会 发 现 ， 明明 所 有 的 动作 都 做 完 
了 ， 但 是 就 是 没有 


办 法 连 上 Xdmcp 服务 器 ! 最 容易 发 生 错 误 的 其 实 就 是 防火 墙 啦 ! 因为 
虽然 我 们 客户 端 

启动 X server 后 ， 会 主动 联机 到 服务 器 端的 Xdmcp (port 177)， 但 是 ， 
接 下 来 却 是 


服务 器 主动 联机 到 我 们 客户 端的 X server (可 能 是 port 6000~6010)。 
此 ， 如 果 你 

只 是 设 定 了 服务 器 的 防火 墙 而 已 ， 那 么 很 可 能 出 现 问 题 的 应 该 承 是 客户 
病 的 防火 墙 忘 记 











打开 提供 服务 器 主动 联机 的 规则 吕 ! 这 点 是 必须 要 跟 大 家 说 明 的 喔 ! 
11.4 华丽 的 图 形 接口 : VNC 服务 器 


就 如 同 刚刚 上 头 讲 到 的 ， 使 用 xdmcp 可 能 会 启动 多 个 不 同 的 埠 口 ， 导 
致 防火 增设 


定 上 面 比 较 困 扰 些 。 那 有 没有 简单 一 点 的 图 形 接口 连接 方式 ? 其 实 还 
有 很 多 啦 ， 在 这 


里 我 们 先 来 讲 一 个 比较 简单 的 ， 那 就 是 VNC (Virtual ”Network 
Computing) 这 玩意 儿 


啦 ! ( 注 6) 
11.4.1 预 设 的 VNC 服务器; 使 用 twm window manager 


VNC server 会 在 服务 器 端 局 动 一 个 监听 用 户 要 求 的 端口 口 ， 一 般 端口 口 
号 码 在 


5901 ~ 5910 之 间 。 当 客户 端 启动 X server 联机 到 5901 之 后 ， VNC 
server 再 将 一 


堆 预先 设 定好 的 X client 透 过 这 个 联机 传递 到 客户 器 上 ， 最 终 束 能 够 在 
客户 痢 显 示 服 


务 吉 的 图 形 接口 了 。 


不 过 需要 注意 的 是 ， 预 设 的 VNC server 都 是 独立 提供 给 『 单 一 」 一 个 


客户 端 来 联 


机 的 ， 因 此 当 你 要 使 用 VNC 时 ， 再 联机 到 服务 器 去 启动 VNC server 即 
可 。 所 以 ， 


般 来 说 ， VNC server 都 是 使 用 手动 启动 的 ， 然 后 使 用 完毕 后 ， 再 将 
VNC server 天 


闭 即 可 。 整 个 作法 其 实 很 简单 喔 ! 你 可 以 这 样 作 : 











[root@www ~]# vncserver [: 写 人 码 ] [-geometry 分 辨 率 ] [options] 
net.qiang(Ohotmail.com 

[root@www ~]# vncserver [-kill :号 码 ] 

选项 与 参数 : 

:号 码 : 就 是 将 VNC server 开 在 哪个 塌 口 ， 如 果 是 :1 则 代表 VNC 5901 
埋 口 

-geometry : 就 是 分 辨 率 ， 例 如 1024x768 或 800x600 之 类 的 

options : 其 他 X 相关 的 选项 ， 例 如 -query localhost 之 类 的 

-kill : 将 已 经 启动 的 VNC 埠 口 删除 ! 依据 身份 控制 喔 。 

[root@www ~]# yum install tigervnc-server 


# 这 个 是 必须 要 的 服务 器 软件 ， 注 意 软 件 的 名 称 喔 ! 与 之 前 的 版 本 不 
同 ! 


# 将 VNC server 启动 在 5903 塌 口 





[root@www ~]# vncserver :3 

You will require a password to access your desktops. 

Password: <== 输 入 VNC 的 联机 密码 ， 这 是 建立 VNC 时 所 需要 的 
Verify: <== 再 输入 一 次 相同 的 密码 

xauth: creating new authority file /root/.Xauthority 

New ‘www.centos.vbird:3 (root)' desktop is www.centos.vbird:3 
Creating default startup script /root/.vnc/xstartup 


Starting applications specified in /root/.vnc/xstartup 


Log file is /root/.vnc/www.centos.vbird:3.log 
[root@www ~1# netstat -tulnp | grep X 

tcp 0 0 0.0.0.0:5903 0.0.0.0:* LISTEN 
4361/Xvnc 

tcp 0 0 0.0.0.0:6000 0.0.0.0:* LISTEN 
1755/Xorg 

tcp 0 0 0.0.0.0:6003 0.0.0.0:* LISTEN 
4361/Xvnc 

tcp 0 0 :::6000 :::* LISTEN 

1755/Xorg 

tcp 0 0 :::6003 :::* LISTEN 

4361/Xvnc 

# 已 经 启动 所 需要 的 埋 口 哆 ! 

在 上 述 的 指令 操作 中 ， 你 要 知道 的 几 个 项 目 是 : 


1. 密码 至 少 需 要 六 个 字符 
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名 
2. 依据 使 用 vncserver 的 身份 ， 将 刚刚 建立 的 密码 放置 于 该 账号 家 目录 
ks 


例如 上 述 的 映 份 是 使 用 root 身份 ， 因 此 密码 文件 会 放 在 


/root/.vnc/passwd 








这 个 档案 中 但 是 若 该 档案 已 经 存在 ， 则 不 会 出 现 建立 密码 的 画面 。 

3. 当 客 户 端 联机 成 功 后 ， 服 务 器 将 会 传送 /root/.vnc/startx 内 的 X client 
给 客户 端 喔 ! 

那 如 果 你 想 要 修改 VNC 密码 呢 ? 很 简单 ， 那 就 使 用 vncpasswd 吧 ! 





[root@www ~|]# 1s -1 /root/.vnc/passwd 

-TW------- . 1 root root 8 Jul 26 15:08 /root/.vnc/passwd 
[root@www ~]#vncpasswd 

Password: <== 就 是 这 里 开始 输入 新 的 密码 啊 ! 
Verify: 

[root@www ~]# 1s -1 /root/.vnc/passwd 

-TW------- . 1 root root 8 Jul 26 15:15 /root/.vnc/passwd 
# 看 吧 ! 时 间 有 更 新 蚂 ! 这 个 档案 的 内 容 更 动 过 吃 ! 


接 下 来 开始 放行 5903 这 个 埋 口 的 联机 防火 墙 规则 吧 ! 因为 预计 可 能 会 
开放 11 个 VNC 


的 塌 口 ， 所 以 干脆 一 口气 开放 11 个 塌 口 吧 ! 

[root@www ~]# vim /usr/local/virus/iptables/iptables.allow 

iptables -A INPUT -i $SEXTIF -s 192.168.100.0/24 -p tcp --dport 5900:5910 
-j ACCEPT 

[root@www ~]# /usr/local/virus/iptables/iptables.rule 

[root@www ~ |]# iptables-save 


-A INPUT -s 192.168.100.0/24 -i eth0 -p tcp -m tcp --dport 5900:5910 


-jj ACCEPT 
# 要 看 得 到 上 面 这 行 才 OK 喔 ! 
11.4.2 VNC 的 客户 端 联机 软件 


0 很 类 似 啦 ， VNC 客户 端 在 Linux 系统 上 面 有 默认 的 软件 ， 但 
是 在 


Windows 系统 上 面 则 必须 要 额外 安装 其 他 软件 。 我 们 先 来 谈 谈 Linux 
的 VNC 用 户 软 


件 吧 ! 


Linux 客户 端 程序 : vncviewer 
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[root@clientlinux ~]# vncviewer 192.168.100.254:3 











TigerVNC Viewer 画 VNC authentication [VncAuth] ~ 口 X 


Copyright (C) 26 


Copyright (C) 296 Username: | 


Copyright (C) 26 


see http://www.t1 区 汪汪 | 


Tue Jul 26 15:18 
CConn: connected to host 192.168.100.254 port 5903 


00:09:01 


用 在 Linux 客户 端的 VNC 程序 ， 那 就 是 vncviewer。 只 是 ， 这 个 软件 默 
认 没 有 安 


装 ， 所 以 你 得 要 使 用 yum 安装 完毕 后 再 来 联机 吧 ! 不 过 一 样 要 注意 ， 
服务 器 端的 防火 


载 一 样 要 设 定 妥当 喔 ! 然后 开始 在 客户 端的 图 形 接口 上 执行 后 下 数据 : 


[root@clientlinux ~]# yum install tigervnc 


[root@clientlinux ~]# vncviewer 192.168.10.254:3 


# ”这 个 指令 请 一 定 一 定 要 在 图 形 接口 上 面 执行 才 行 喔 ! 很 重要 ! 别 态 
了 


图 11.4-1、 在 Linux 客户 端 执行 vncviewer 程序 示意 


在 上 图 当中 输入 刚刚 的 root 的 VNC 联机 密码 ， 请 注意 喧 ， 是 VNC 的 
联机 密码 ， 


而 不 是 root 的 登入 密码 ! 这 两 者 是 差 很 多 的 ! 也 由 于 启动 VNC 的 身份 
是 root ， 


此 这 里 才 使 用 root 的 VNC 联机 密码 。 所 以 ， 很 多 时 刻 ， 我 们 都 是 建议 
使 用 一 般 丑 份 


来 启动 VNC server 的 啦 ! 当 你 输入 正确 的 VNC 联机 密码 后 ， 会 出 现 如 
下 的 图 示 哆 : 
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bo] 


党 应 用 程式 ”位置 系统 他 本 区 章 上 唱 





root@clientlinux:~ Ts 
档案 (F) 编辑 (E) 检视 (V) 搜寻 (S) 狼 端 机 (IT) 求助 (H) 


Installing : tigervnc-1.0.90-0.10.20100115svn3945.el6.x86 64 
VgervNc: www.centos.vbird:3 (root) 


外 Applications Places System 议和 
Preferred Web Browser 
Eq Browse the Web 
一 
CA 


Computer 


A 
i AAA p> 


root's Home 


(sh 





图 11.4-2、 在 Linux 客户 端 执行 ncviewer 程序 示意 


与 以 前 的 VNC server 较 大 的 差异 ， 在 CentOS 6.x 当中 ，tigervnc-server 


YY 


这 套 


软件 会 主动 的 依据 服务 器 端的 图 形 接口 登入 方式 给 予 正确 的 图 形 显示 接 
口 ， 而 不 是 以 前 


那样 给 予 一 个 丑 丑 的 twm 而 已 ! 这 样 我 们 就 可 以 减少 还 得 要 修改 一 些 
有 的 没有 的 配置 


文件 了 ! 真是 棒 ! 联机 成 功 后 ， 请 在 客户 端 关 闭 这 个 vncviewer 的 联 
机 ， 因 为 接 下 来 


我 们 要 准备 由 Windows 联机 到 服务 器 的 port 5903 哆 ! 





Windows 客户 端 程序 : realvnc 


Windows 底下 可 用 的 vnc dient 软件 不 少 ， 但 是 鸟 哥 比较 熟悉 的 是 


realvnc 这 


家 公司 出 品 的 GNU 的 自由 软件 ! 你 可 以 在 底下 的 连结 下 载 到 最 简单 的 
版 本 ， 是 不 用 钱 


的 自由 软件 版 本 喔 ! ( 乌 哥 仅 下 载 不 用 安装 的 viewer 版 本 而 已 ! ) 








http:/www.realvnc.com/download.html 
直接 执行 nc-viewer 软件 ， 然 后 就 会 看 到 如 下 的 画面 : 
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VNC® Personal Edition for Windows REAL 
See http; /www.realync.com for more information on 


VNC Server: 192, 168,100,254: 直 


Encryption; |Let VNC Server choose | 
Ee ee 











VNC Server: 192.,168,100,254:3 
Va Username: 


Password: |eeeeee 








Va www.centos.vbird:3 (root) - YNC Viewer 





a Applications Places System 3 SS 





图 11.4-3、Windows Real VNC 客户 端 联机 示意 图 


如 上 图 所 示 ， 你 在 ”server 字段 填 上 IP:port 的 数据 即 可 ， 然 后 按 下 
[OKJ」 吧 ! 


图 11.4-4、Windows Real VNC 客户 端 联机 示意 图 


由 于 VNC server 需要 的 仪 是 联机 的 VNC 密码 而 已 ， 因 此 上 图 中 的 


Username 可 


以 不 用 填 ， 老 实说 ， 这 个 程序 它 也 不 会 让 你 填 ~ 呵呵 ! 填 完 按 下 
TOK」 即 可 ! 接 下 来 


就 会 出 现 正确 的 画面 哆 ! 


图 11.4-5、Windows Real VNC 客户 端 联机 示意 图 
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0 


11.4.3 VNC 搭配 本 机 的 Xdmcp 画面 
如 果 因 为 某 些 特殊 因素 ， 你 得 要 使 用 VNC 来 搭配 xdmcp 的 输出 时 ， 那 


就 直接 在 服 


务 器 透 过 底下 的 指令 来 处 理 即 可 ! 要 注意 喔 ， 你 必须 要 已 经 启动 了 
xdmcp 了 喔 ! 而 且 ， 


我 们 底下 使 用 student 的 喘 份 来 局 动 这 个 VNC 吧 ! 
#1. 要 确定 xdmcp 已 经 启动 了 才 可 以 : 
[root@www ~]# netstat -tlunp | grep 177 

udp 0 0 0.0.0.0:177 0.0.0.0:* 1734/gdm-binary 


# OK 的 ! 确实 有 局 动 的 啦 ! 如 果 没 有 看 到 177 的 话 ， 回 到 11.3 去 处 理 
处 理 


# 2. 切换 成 student， 并 且 启 动 VNC server 在 :5 

[root@www ~]# su - student 

[student@www ~]$ vncserver :5 -query localhost 

You will require a password to access your desktops. 

Password: 

Verify: 

xauth: creating new authority file /home/student/.Xauthority 

New ‘www.centos.vbird:5 (student)' desktop is www.centos.vbird:5 
Creating default startup script /home/student/.vnc/xstartup 

Starting applications specified in /home/student/.vnc/xstartup 


Log file is /home/student/.vnc/www.centos.vbird:5.log 


#3. 取消 xstartup 的 启动 内 容 


[student@www ~]$ vim /home/student/.vnc/xstartup 

.…( 前 面 省 略 )…. 

#xterm -geometry 80x24+10+10 -ls -title "$VNCDESKTOP Desktop" & 
#twm & 

# 将 这 个 档案 的 内 容 ， 全 部 都 加 上 # 批注 挥 

#4. 重新 启动 vncserver 喔 ! 

[student@www ~]$ vncserver -kill :5 

[student@www ~]$ vncserver :5 -query localhost 


接 下 来 请 使 用 root 的 身份 加 入 5905 的 端口 口 防火 墙 规则 ， 然 后 自行 使 
用 Linux 的 


vncviewer 或 Windows 的 RealVNC 来 联机 ， 你 就 会 发 现 如 下 的 画面 : 
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V2 www.centos.vbird:5 (student) 
全 Applications Places System 苔 去 













root@WwWWwW:~ 
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[root @ww 瑟 # 上 国 





0 
0 


图 11.4-6、 透 过 VNC 通道 取得 xdmcp 画面 


我 们 这 只 VNC 的 联机 程序 是 student 身份 ， 但 是 我 们 却 可 以 透 过 xdmcp 
的 登入 


功能 来 登入 root 身份 喔 ! 因为 在 服务 器 上 面 的 Xvnc 程序 是 student 拥 
有 ， 这 样 会 


比较 好 啦 ! 了 解 呼 ? 
11.4.4 开机 就 启动 VNC server 的 方法 


请 注意 ， 你 不 要 将 vncserver 的 指令 写 入 在 /etc/rc.d/rc.local 中 ， 否 则 可 
全 已 
月 已 


会 产生 localhost 无 法 登入 的 问题 。 那 该 如 何 让 你 的 VNC server 在 一 开 
机 就 启动 而 


不 须要 登入 执行 指令 呢 ? 可 以 的 ， 但 是 你 得 要 修改 一 下 配置 文件 。 我 
们 底下 使 用 


student 的 身份 司 动 VNC server， 而 启动 的 方式 为 使 用 xdmcp 登入 男 
面 ， 启 动 的 井口 


就 定 在 5901 好 了 。 那 你 应 该 这 样 作 : 

[root@www ~]# vim /etc/sysconfig/vncservers 
VNCSERVERS="1:student" 
VNCSERVERARGS[1]="-query localhost" 

# 上 述 两 行 的 1 指 的 就 是 那个 塌 口 5901 喔 ! 要 注意 ! 
[root@www ~]# /etc/init.d/vncserver restart 

[root@www ~]# chkconfig vncserver on 

有 够 好 简单 吧 ! 这 样 每 次 开机 就 搞定 你 的 VNC server 哆 ! 


11.4.5 同步 的 VNC : 可 以 透 过 图 示 同 步 教学 
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另外 ， 有 些 朋 友 一 定 会 觉得 奇怪 ， 那 束 是 ， 为 甚么 我 的 VNC 服务 需 的 


server/ 


client 端 画 面 并 不 是 同步 的 呢 ? 这 是 因为 Linux 本 身 提供 多 个 VNC server 
， 她 们 是 


各 自 独立 的 ， 所 以 当然 就 不 会 与 tty7 的 画面 同步 了 。 但 是 如 果 你 想 要 
与 Linux 的 


tty7 同步 的 话 ， 可 以 利用 VNC 释 出 的 给 X Server 使 用 的 模块 来 加 以 设 
定 即 可 。 











那 使 用 这 个 模块 有 甚么 好 处 啊 ? 惑 是 可 以 让 两 个 图 形 接口 在 server/client 


了 十 


一 样 的 ， 所以， 如果 你 想 要 教 你 的 朋友 你 是 如 何 设 定 的 ， 那 残 可 以 透 
过 这 个 机 制 来 处 


理 ， 你 的 朋友 在 远程 就 能 够 知道 你 一 步 一 步 进 行 的 过 程 ! ”这 样 很 不 赖 
吧 ! 详细 的 作法 


可 以 参考 底下 的 连结 : 





http://phorum.study-area.org/viewtopic.php?t=25713 


我 们 也 来 实 做 一 下 吧 (在 CentOS 6.x 当中 并 没有 xorg.conf 这 个 配置 文件 
喔 ! 


如 果 你 要 使 用 这 些 数据 的 话 ， 仆 怕 得 要 自行 使 用 X -configure 去 
建 


xorg.conf 后 ， 再 挪 到 /etc/X11/ 去 ， 然 后 才 改 的 到 设 定 ! ): 
[root@www ~]# yum install tigervnc-server-module 


[root@www ~]# vim /etc/X11/xorg.conf 


Section "Screen" 
Identifier "ScreenO" 
Device "Videocard0" 
DefaultDepth 24 

# VBird 

Option "passwordFile" "/home/student/.vnc/passwd" 
SubSection "Display" 
Viewport 00 

Depth 24 
EndSubSection 
EndSection 

# VBird 

Section "Module" 
Load "vnc" 
EndSection 


# 假设 你 的 vnc 密码 档案 放置 在 /home/student/.vnc/passwd 里 头 ， 





# 这 个 时 候 就 得 要 将 密码 文件 内 容 写 到 Screen 这 个 section 当中 了 
[root@www ~]# init 3 ; init 5 
[root@www ~]# netstat -tlunp | grep X 


tcp 0 0 0.0.0.0:5900 0.0.0.0:* LISTEN 


7445/Xorg 

tcp 0 0 0.0.0.0:6000 0.0.0.0:* LISTEN 
7445/Xorg 

tcp 0 0 :::6000 :::* LISTEN 
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0 


7445/Xorg 


# 注意 看 喔 ! 这 几 个 port 局 动 的 PID 都 一 样 咀 ! 所 以 会 启动 一 个 port 
5900 


嘿 ! 


之 后 你 可 以 使 用 『 vncviewer 192.168.100.254 」 来 联机 即 可 ， 不 需要 加 
上 区 之 类 


的 塌 口 。 ”然后 你 可 以 看 一 下 客户 端 与 服务 器 端的 图 形 接口 ， 你 会 发 现 
到 两 者 移动 鼠标 


时 ， 两 者 的 画面 会 同步 运作 喔 ! ”非常 有 趣 呢 ! 只 不 过 这 个 动作 还 是 只 
允许 一 条 VNC 联 


机 ， 不 能 让 所 有 客户 端 都 连 到 port 5900 ， 这 真是 太 可 惜 了 ! 
11.5 仿真 的 远程 桌面 系统 : XRDP 服务 器 
使 用 ， 图 形 接口 的 联机 服务 器 都 有 一 个 问题 ， 除 了 联机 机 制 的 不 同 


» 


之 外 


的 Xdmcp 与 VNC 原则 上 ， 资 料 都 没有 加 密 。 因此 上 面 的 动作 大 多 仅 
适合 局 域 网 络 内 


运作 ， 不 要 连 上 Internet 比较 好 。 那 如 果 你 真 的 想 要 透 过 加 密 的 方式 运 








作 VNC， 那 


可 能 得 要 透 过 下 一 小 节 的 介绍 才能 够 有 好 的 处 理 结 果 。 那 么 我 们 知道 
Windows 的 远程 


桌面 (Remote Desktop Procotol, RDP, 注 7) 其 实 是 具有 联机 加 密 功 能 的 ， 
所 以 ， 能 


不 能 在 Linux 上 面 装 一 个 RDP Server 呢 ? 是 可 以 的 ， 那 就 是 XRDP 服 
务 器 ( 注 8)。 


很 可 惜 的 是 ， 我 们 的 CentOS 6.x 预 设 并 没有 提供 XRDP 的 服务 器 ， 如 
果 你 有 兴趣 


的 话 ， 可 以 自行 编译 xrdp 软件 ， 但 乌 哥 有 找到 Fedora 基金 会 提供 的 
RHEL 额外 软 


件 计 划 G 主 9)， 你 可 以 到 底下 的 连结 去 找到 你 对 应 的 版 本 : 
http://download .fedora.redhat.com/pub/epel/ 


鸟 哥 还 是 觉得 yum 是 好 东西 ， 因 此 乌 哥 找到 的 CentOS 6.x x86_64 版 本 
的 网 址 后 ， 


将 它 设 定 在 yum 配置 文件 内 ， 就 可 以 使 用 yum 安装 了 : 











[root@www ~]# vim /etc/yum.repos.d/fedora_epel.repo 

[epel] 

name=CentOS-$releasever - Epel 

baseurl=http://download .fedora.redhat.com/pub/epel/6/x86_64/ 
gpgcheck=0 

enabled=1 


[root@www ~]# yum clean all 


[root@www ~]# yum install xrdp 


这 样 就 安装 好 了 xrdp 软件 了 ， 接 着 下 来 就 得 要 开始 来 设 定 它 喝 ! 老实 
说 ， 在 一 般 的 主 
机 上 面 安装 好 这 个 xrdp 之 后 ， 你 根本 不 需要 调整 任何 配置 文件 ， 保 留 
好 配置 文件 就 好 


了 ， 然 后 局 动 它 ， 并 且 设 定 开机 后 启动， 未 来 只 要 用 远程 联机 连 到 这 部 
主机 ， 系统 就 
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Module |sesman-xXvnc | 
Username [root 
password [rtd 


_ ok | cancel| Hep | 





会 启动 5910~5920 以 上 的 VNC 塌 口 ， 然 后 你 就 能 够 透 过 RDP 的 协议 取 
得 VNC 的 画面 ， 


最 后 就 能 够 登入 系统 吕 ! 

[root@www ~|]# /etc/init.d/xrdp start 
[root@www ~]# chkconfig xrdp on 
[root@www ~]# netstat | grep xrdp 

tcp 0 0 127.0.0.1:3350 0.0.0.0:* LISTEN 
6615/xrdp-sesman 


tcp 0 0 0.0.0.0:3389 0.0.0.0:* LISTEN 


6611/xrdp 

# 远程 桌面 的 埠 口 是 3389 ， 但 是 xrdp 会 再 连 到 本 机 的 3350 去 唤醒 一 个 
VNC 的 联机 。 

# 但 是 尚未 联机 之 前 ， 并 不 会 起 动 任何 的 VNC 埋 口 就 是 了 。 


如 果 你 是 使 用 Windows 系统 ， 那 么 透 过 『 开 始 」--> 『 程 序 集 」--> 『 附 
属 应 用 程序 


--> 『 远 程 桌 面 联机 」， 
后 ， 如 果 顺 利 


连 上 就 会 出 现 如 下 的 画面 : 
图 11.5-1、 连 上 服务 器 的 XRDP 服务 后 ， 会 出 现 的 联机 信息 





在 出 现 的 画面 中 输入 这 部 xrdp 服务 器 的 IP 之 
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T192168100°254 





证 Applications Places Syste Tue Jul 26, 4:11 PM root 










root@www':~ 
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rwW------ ， 1 root root 1485 J ul 14 00: 31 anaconda- ks. cfg 
drwr- xr- x. 2 root root 4096 jul 22 16:14 bin 

rwr--r--. 1 root root 10485760 Jj ul 25 11:48 dd lonb file 

dr wr - Xr- 2 root root 4096 jul 25 18: 36 Desktop 

dr wr- xr- 2 root root 4096 j ul 25 18: 36 Docunents 

drwr- xr-x. 2 root root 4096 Jj ul 25 18: 36 Downl oads 

rwrwr--, 1 student student 215778 jul 18 00: 36 el000- 8. 0. 30.tar. gz 
rwr--r--. 1 root root 5493180 jul 25 11: 42 findl.log 

rwr--r--， 1 root root 189 J ul 20 17:29 hosts 

rwr--f--。 1 root root 26542 jul 14 00: 30 install.log 
rwr--r--。 1 root root 7878 Jj ul 14 00: 27 install.|og.syslog 
rwr--r--. 1 root root 374 J ul 22 15: 56 iptables 1 

dr vr- xr- x. 2 root root 4096 jul 18 16: 36 Iftp 

rwr--r--,. 1 root root 76096559 May 19 12:21 1i nux- 2. 6. 39.tar. bz2 
drvr- xr-x. 2 root root 4096 jul 25 18: 36 Misit 

rwr--r--，1 root root 134188 jun 6 11:22 noip- duc-linux.tar. gz 
dr wr- xr- 2 root root 4096 J ul 25 18: 36 Pi ctures 

drwr- xr-Xx, 2 root root 4096 jul 25 18: 36 Publit 





0 





图 11.5-2、 连 上 服务 器 的 XRDP 服务 后 ， 会 出 现 的 联机 信息 


输入 正确 的 账号 密码 ， 嘿 嘿 ! 搞定 ! 画面 就 出 现 哆 ! 如 果 你 还 想 要 更 进 
一 步 的 了 解 


xrdp 的 配置 文件 ， 那 么 请 到 /etc/xrdp/ 目录 底下 瞧 瞧 ， 然 后 再 透 过 man 
去 看 看 相关 


的 配置 文件 信息 ， 就 能 够 理解 设 定 值 吃 ! 乌 哥 测试 过 ， 不 用 修改 任何 设 
定 ， 使 用 远程 


蝎 面 就 已 经 很 顺畅 哆 ! 和信 


不 过 你 要 注意 的 是 ， 因 为 xrdp 最 终 会 自动 启用 VNC ， 因 此 你 还 是 必须 
本 2 半 
要 安装 


tigervnc-server 才 行 ! 否则 xrdp 应 该 还 是 无 法 运作 的 鄙 ! 
11.6 SSH 服务 器 的 进 阶 应 用 


事实 上 ssh 真 的 很 好 用 ! 你 甚至 不 需要 启动 甚么 xdmcp, vnc, xrdp 等 等 
服务 ， 


使 用 ssh 的 加 密 通 道 残 能 够 在 客户 端 局 动 图 形 接 口 ! 此 外 ， 我 们 知道 很 
多 服务 都 是 没 


有 加 密 的 ， 那 么 能 不 能 将 这 些 服务 透 过 ssh 通道 来 加 密 呢 ? 嘿嘿 ! 当然 
是 可 以 ! 在 这 


个 章节 当中 ， 我 们 就 来 谈 谈 一 些 ssh 的 进 阶 应 用 吧 ! 
11.6.1 启动 ssh 在 非 正 规 埋 口 ( 非 port 22) 


从 前 面 的 章节 里 面 我 们 就 曾经 提 过 ， ”sshd ”这 个 服务 其 实 并 不 是 很 安 
全 ， 所 以 很 多 


ISP 在 入 口 处 就 已 经 将 port 22 关闭 了 ! 为 什么 要 这 么 作 呢 ? 这 是 因为 很 
多 网 站 管理 











员 并 没有 定期 的 进行 软件 update ， 而 且 为 了 方便 ， 又 很 开心 的 将 port 
22 对 全 世界 
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开放 。 由 于 很 多 cracker 会 使 用 扫描 程序 乱 扫 整个 Internet 的 埋 口 漏洞 ， 
这 个 port 


22 就 是 一 个 很 名 被 扫描 的 问 口 口 啦 ! 为 了 杜绝 这 个 问题 ， 所 以 ISP 先 帮 
你 把 天 ， 先 将 


port 22 关闭 ! 这 也 是 为 了 整个 区 网 好 ! 
只 是 ， 像 岛 哥 这 种 没有 ssh 就 快要 活 不 下 去 的 人 ， 关 闭 了 port 22 那 鸟 哥 
的 头 都 

痛 了 ! 没有 办 法 工作 啊 ! 那 怎 办 ? 没关系 ， 其 实 我 们 可 以 将 ssh 开放 在 
非 正规 的 起 口 。 


如 此 一 来 ， cracker 不 会 扫描 到 该 端口 口 ， 而 你 的 ISP 又 没有 对 该 埋 口 
进行 限制 ， 那 


你 就 能 够 使 用 ssh 吵 ! 很 棒 吧 ! 那 就 来 试看 看 。 我 们 底下 将 ssh 开放 在 
port 22 及 


port 23 试看 看 (请 注意 ， port 23 不 能 够 有 被 使 用 喔 ! )。 











设 定 ssh 在 port 22 及 23 两 个 塌 口 的 设 定 方式 
[root@www ~l]# vim /etc/ssh/sshd_config 

Port 22 

Port 23 <== 注 意 喔 ! 要 有 两 个 Port 的 设 定 才 行 ! 


[root@www ~|]# /etc/init.d/sshd restart 


但 是 这 一 版 的 CentOS 却 将 SSH 规范 port 仅 能 启动 于 22 而 已 ， 所 以 此 
时 会 出 现 一 


个 SELinux 的 错误 ! 那 怎 办 ? 没关系 ， 根据 setroubleshoot 的 提示 ， 我 
们 必须 要 自 


行 定义 一 个 SELinux 的 规则 放行 模块 才 行 ! 有 没有 很 难 呢 ? 其 实 还 算 简 
单 ! 整体 流程 


是 这 样 的 : 

#1. 于 /var/log/audit/audit.log 找 出 与 ssh 有 关 的 AVC 信息 ， 并 转 为 本 地 
模块 

[root@www ~ 1# cat /var/log/audit/audit.log | grep AVC | grep ssh |\ 

> audit2allow -m sshlocal > sshlocal.te <== 扩 展 名 要 是 .te 才 行 
[root@www ~ 1# grep sshd_t /var/log/audit/audit.log 外 

> audit2allow -M sshlocal <==sshlocal 就 是 刚刚 建立 的 .te 档 名 

米 米 六 六 六 六 六 六 六 六 六 六 六 闵 六 六 六 六 六 六 MIPO 〇 及 本 入 本 六 六 六 六 六 六 六 六 六 六 六 六 六 六 六 六 六 玉米 闵 六 六 冰 
To make this policy package active, execute: 

semodule -i sshlocal.pp <== 这 个 指令 会 编译 出 这 个 重要 的 .pp 模块 ! 
# 2. 将 这 个 模块 加 载 系统 的 SELinux 管理 当中 ! 

[root@www ~]# semodule -i sshlocal.pp 

# 3. 再 重新 启动 sshd 并 且 观 察 井口 吧 ! 

[root@www ~]# /etc/init.d/sshd restart 


[root@www ~ 1# netstat -tlunp | grep ssh 


tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 7322/sshd 
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避 

tcp 0 0 0.0.0.0:23 0.0.0.0:* LISTEN 7322/sshd 
tcp 0 0 :::22 :::* LISTEN 7322/sshd 

tcp 0 0 :::23 :::* LISTEN 7322/sshd 


没有 很 简单 ! 这 样 你 就 能 够 使 用 port 22 或 port 23 联机 到 你 的 sshd 服 
喔 ! 


非 正 规 塌 口 的 联机 方式 


人 ssh, scp, sftp 都 是 连接 到 port 22 的 ， 那 么 如 何 使 用 这 些 指 令 
四 


机 到 port 23 呢 ? 我 们 使 用 ssh 当 练 习 好 了 : 
[root@www ~|]# ssh -p 23 root@localhost 
root@localhost's password: 

Last login: Tue Jul 26 14:07:41 2011 from 192.168.1.101 
[root@www ~ 1]# netstat -tnp | grep 23 

tcp 0 0 ::1:23 ::1:56645 ESTABLISHED 

7327/2 

tcp 0 0 ::1:56645 ::1:23 ESTABLISHED 


7326/Ssh 


因为 网 络 是 双 同 的 ， 因 此 目 己 连 自 己 ”(localhost)， 束 会 抓 到 两 只 联 
几 ! 


这 样 ， 你 天 能 够 避 过 一 些 ISP 或 者 是 cracker 的 扫描 了 ! 注意 一 下 ,不 
要 将 port 开 


放 在 东 些 既 知 的 埋 口 上 ， 例如 你 开放 在 port 80 的 话 ， 那 你 束 没 有 办 法 
局 动 正常 的 


WWW 服务 啦 ! 注意 注意 ! 
11.6.2 以 rsync 进行 同步 镜像 备份 


我 们 曾 在 基础 篇 第 三 版 第 二 十 五 音 里 头 谈 到 Linux 的 备份 策略 ， 该 篇 曾 
介绍 利用 


的 备份 指令 ， 包 括 tar, dd, cp 等 等 ， 不 过 当时 并 未 介绍 网 络 ， 所 以 有 个 
很 棒 的 网 络 


工具 没有 介绍 ， 那 就 是 这 个 地 方 要 谈 到 的 rsync 啦 ! 这 个 rsync 可 以 作 
为 一 个 相当 


棒 的 异地 备 援 系 统 的 备份 指令 咀 ! 因为 rsync 可 以 达到 类 似 『 镜 相 
(mirror) 」 的 功 


能 呢 ! 


rsync 最 早 是 想 要 取代 rcp 这 个 指令 的 ， 因 为 rsync 不 但 传输 的 速度 快 ， 
而 且 他 


在 传输 时 ， ”可 以 比 对 本 地 端 与 远程 主机 欲 复制 的 档案 内 容 ， 而 仅 复 制 
两 端 有 差异 的 档 


人 此 外 ， rsync 的 传输 方式 
至 少 可 以 透 


三 种 方式 来 运作 : 
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在 本 机 上 直接 运作 ， 用 法 就 与 cp 几乎 一 模 一 样 ， 例 如 : 
rsync -av /etc /tmp (将 /etc/ 的 数据 备份 到 /tmp/etc 内 ) 

透 过 rsh 或 ssh 的 信道 在 server / client 之 间 进 行 数据 传输 ， 例 如 : 
rsync -av -e ssh user(@rsh.server:/etc /tmp (将 rsh.server 的 /etc 备份 
到 本 地 主机 的 /tmp 内 ) 


直接 透 过 rsync 提供 的 服务 (daemon) 来 传输 ， 此 时 rsync 主机 需要 启 
动 


873 port: 

1. 你 必须 要 在 server 端 局 动 rsync ， 看 /etc/xinetd.d/rsync 即 可 ; 

2. 你 必须 编辑 /etc/rsyncd.conf 配置 文件 ; 

3. 你 必须 设 定好 client 端 联机 的 密码 数据 ; 

4. 在 client 端 可 以 利用 : rsync -av user@hostname::/dir/path /local/path 

其 实 三 种 传输 模式 差异 在 于 有 没有 冒号 (:) 而 已 ， 本 地 端 传输 不 需要 冒 


号 ， 透 过 





ssh 或 rsh 时 ， 束 得 要 利用 一 个 冒号 (:)， 如 果 是 透 过 rsync daemon 的 
话 ， 束 得 要 


两 个 冒号 (::) ， 应 该 不 难 理解 啦 ! 因为 本 地 端 处 理 很 简单 ， 而 我 们 的 系 
统 本 来 就 有 


提供 ssh 的 服务 ， 所 以 ， 确 下 乌 哥 将 直接 介绍 利用 rsync 透 过 ssh 来 备 
份 的 动作 喔 。 


不 过 ， 在 此 之 前 中 们 先 来 看 看 rsync 的 语法 吧 ! 


[root@www ~]# rsync [-avrlptgoD | [-e ssh] [user@host:/dir] [localpatbhj] 


选项 与 参数 : 

-Vv : 观察 模式 ， 可 以 列 出 更 多 的 信息 ， 包 括 镜 像 时 的 档案 档 名 等 ; 
-qd : 与 -V 相反， 安静 模式 ， 略 过 正常 信息 ， 仪 显示 错误 讯息 ; 
- 工 : 递归 复制 ! 可 以 针对 『 目 录 」 来 处 理 ! 很 重要 ! 

-u : 仅 更 新 (updatej)， 若 目标 档案 较 新 ， 则 保留 新 档案 不 会 覆盖 ; 
-| : 复制 链接 文件 的 属性 ， 而 非 链接 的 目标 源 文件 内 容 ; 

-p : 复制 时 ， 连 同属 性 (permission) 也 保存 不 变 ! 

-g : 保存 源 文件 的 拥有 和 群 组 ; 

-0 : 保存 源 文件 的 拥有 人 ; 

-D : 保存 源 文件 的 装置 属性 (device) 

-t : 保存 源 文 件 的 时 间 参 数 ; 

-[: 忽略 更 新 时 间 (mtime) 的 属性 ， 档 案 比 对 上 会 比较 快速 ; 

-z : 在 数据 传输 时 ， 加 上 压缩 的 参数 ! 

-e : 使 用 的 信道 协议 ， 例 如 使 用 ssh 通道 ， 则 -e ssh 

-a : 相当 于 -rlptgoD ， 所 以 这 个 -a 是 最 常用 的 参数 了 ! 

更 多 说 明 请 参考 man rsync 的 解说 ! 

#1. 将 /etc 的 数据 备份 到 /tmp 底下 : 

[root@www ~]# rsync -av /etc /tmp 

…( 前 面 省 略 )..…. 


sent 21979554 bytes received 25934 bytes 4000997.82 bytes/sec 


total size is 21877999 speedup is 0.99 

[root@www ~]#1 -d /tmp/etc /etc 
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drwxr-xr-x. 106 root root 12288 Jul 26 16:10 /etc 

drwxr-xr-x. 106 root root 12288 Jul 26 16:10 /tmp/etc <== 瞧 ! 两 个 目 
录 一 样 ! 


# ”第 一 次 运作 时 会 花 比 较 久 的 时 间 ， 因 为 首次 建立 嘛 ! 如 果 再 次 备份 
呢 ? 


[root@www ~]# rsync -av /etc /tmp 
sent 55716 bytes received 240 bytes 111912.00 bytes/sec 
total size is 21877999 speedup is 390.99 


# 比较 一 下 两 次 rsync 的 传输 与 接受 数据 量 ， 你 就 会 发 现 立 刻 就 跑 完 
下 


# 传输 的 数据 也 很 少 ! 因为 再 次 比 对 ， 仅 有 差异 的 档案 会 被 复制 。 
# 2. 利用 student 的 身份 登入 clientlinux.centos.vbird 将 家 目录 复制 
到 本 机 /tmp 


[root@www ~]# rsync -av -e ssh StudentD192.168.100.10:~ /tmp 








student@@192.168.100.10's password: <== 输 入 对 方 主机 的 student 密码 
receiving file list ... done 
student/ 


student/.bash_logout 


.…( 中 间 省 略 ).…. 

sent 110 bytes received 697 bytes 124.15 bytes/sec 

total size is 333 Speedup is 0.41 

[root@www ~]#1 -d /tmp/student 

drwXx------ . 4 student student 4096 Jul 26 16:52 /tmp/student 
# 瞧 ! 这 样 就 做 好 备份 啦 ! 很 简单 吧 ! 


你 可 以 利用 上 面 的 范例 二 来 做 为 备份 script 的 参考 ! 不 过 要 注意 的 是 ， 
因为 rsync 是 


透 过 ssh 来 传输 资料 的 ， 所 以 你 可 以 针对 student 这 个 家 伙 制 作出 免 用 密 
码 登入 的 


ssh 密 钥 ! 如 此 一 来 往 后 异地 备 援 系 统 束 能 够 目 动 的 以 crontab 来 进行 
备份 了 ! 简单 


到 焊 ! 


免 密码 的 ssh 账号 我 们 在 上 头 已 经 讲 过 了 ， 撰 写 shell script 的 能 力也 是 
必须 


要 有 的 ! 利用 rsync 来 进行 你 的 备份 工作 吧 ! 和 人 和 ^! 至 于 更 多 的 rsync 用 
法 可 以 参考 


本 章 后 面 所 列 出 的 参考 网 站 ( 注 10) 喔 ! 
例题 : 
在 dlientlinux.centos.vbird (192.168.100.10) 上 面 ， 使 用 vbirdtsai 的 


身份 建立 一 只 脚本 ， 这 只 脚本 可 以 在 每 天 的 2:00am 主动 的 以 rsync 配合 
ssh 取 


得 www.centos.vbird (192.168.100.254) 的 /etc, /root, /home 三 个 目录 的 镜 


像 到 clientlinux.centos.vbird 的 /backups/ 底下 。 


由 于 必须 要 透 过 ssh 通道 ， 且 必须 要 使 用 crontab 例 行 工 作 排 程 ， 因 此 
要 使 用 密 钥 系 统 的 免 密码 账号 。 我 们 在 11.2.6 小 节 已 经 谈 过 相关 作法 ， 
vbirdtsai 
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己 经 有 了 公 钥 与 私 钥 档 案 ， 因 此 不 要 再 使 用 ssh-keygen 了 ， 直 接 将 公 钥 
档案 复制 


到 www.centos.vbird 的 /root/.ssh/ 底下 即 可 。 实 际 作法 可 以 是 这 样 的 : 
#1. 在 clientlinux.centos.vbird 将 公 钥 档 复 制 给 www.centos.vbird 的 
root 

[vbirdtsia@clientlinux ~]$ scp ~/.ssh/id_rsa.pub 
root(@®192.168.100.254:~ 

#2. 在 www.centos.vbird 上 耐用 root 建 置 好 authorized_keys 
[root@www ~]#1s -ld id_rsa.pub .ssh 

-rW-r--r--. 1 root root 416 Jul 26 16:59 id_rsa.pub <== 有 公 钼 档 


drwx------ .2 root root 4096 Jul 25 11:44 .ssh <== 有 ssh 的 相 


[root@www ~]# cat id_rsa.pub >> ~/.ssh/authorized_keys 


[root@www ~]# chmod 644 ~/.ssh/authorized_keys 

# 3. 在 clientlinux.centos.vbird 上 面 撰写 script 并 测试 执行 : 
[vbirdtsai@calientlinux ~]$ mkdir ~/bin ; vim ~/bin/backup_www.sh 
#!/bin/bash 

localdir=/backups 

remotedir="/etc /root /home" 

remoteip="192.168.100.254" 

[ -d ${localdir} ] || mkdir ${localdir} 

for dir in ${remotedir} 

do 

rsync -av -e ssh root@${remoteip}:${dir} ${localdir} 

done 

[vbirdtsai@clientlinux ~]$ chmod 755 ~/bin/backup_www .sh 
[vbirdtsai@clientlinux ~]$ ~/bin/backup_www.sh 

# 上 和 面 在 测试 啦 ! 

第 一 次 测试 可 能 会 失败 ， 

因为 乌 哥 忘记 /backups 需要 root 

# 的 权限 才能 够 建立 。 

所 以 ， 

请 您 再 以 root 的 号 份 去 mkdir 及 setfacl 吧 ! 





#4. 建立 crontab 工作 

[vbirdtsai@clientlinux ~]$ crontab -e 
02*** /home/vbirdtsai/bin/backup_www.sh 
11.6.3 透 过 ssh 通道 加 密 原 本 无 加 密 的 服务 
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僻 最 器 庙 用 叫 端 


现在 我 们 知道 ssh 这 个 通道 可 以 加 密 ， 而 且 ， 我 们 更 知道 rsync 默认 已 
经 可 以 透 


过 ssh 通道 来 进行 加 密 以 进行 镜像 传输 。 既然 如 此 ， 那 么 其 他 的 服务 能 


不 能 透 过 这 个 


ssh 进行 数据 加 密 来 传送 信息 呢 ?” 当 然 可 以 ! 很 棒 呢 这 个 功能 ! 要 介绍 
实 做 之 前 ， 我 


们 先 用 图 示 来 谈 一 下 作法 。 
假设 服务 器 上 面 有 启动 了 VNC 服务 在 port 5901 ， 客 户 端 则 使 用 


vncviewer 要 


2 port 5901 就 是 了 。 那 现 在 我 们 在 客户 端 计算 机 上 面 
动 一 


5911 的 埠 口 ， 然 后 再 透 过 本 地 端的 ssh 联机 到 服务 器 的 sshd 去 ， 而 服 
务 器 的 sshd 








再 去 连接 服务 器 的 VNC port 5901 。 整 个 联机 的 图 示 如 下 所 示 : 
图 11.6-1、 透 过 本 地 端的 ssh 加 密 联 机 到 远程 的 服务 器 示意 图 


假设 你 已 经 透 过 上 述 各 个 小 节 建 立 好 服务 器 (www.centos.vbird) 上 面 的 
VNC 

port 5901 ， 而 客户 端 则 没有 启动 任何 的 VNC 塌 口 。 那么 你 该 如 何 透 过 
ssh 来 进行 

加 密 呢 ? 很 简单 ， 你 可 以 在 客户 端 计算 机 (clientlinux.centos.vbird) 执行 
底下 的 指 





[root@clientlinux ~]# ssh -L 本 地 塌 口 :127.0.0.1: 远 程 端口 口 [-N] 远程 主 
机 


选项 与 参数 : 
-N : 仅 局 动 联 机 通道 ， 不 登入 远程 sshd 服务 器 
本 地 塌 口 ， 就 是 开启 127.0.0.1 上 面 一 个 监听 的 塌 口 


远程 埋 口 : 指定 联机 到 后 面 远程 主机 的 sshd 后 ，sshd 该 连 到 哪个 埋 口 
进行 


传输 
#1. 在 客户 端 局 动 所 需要 的 端口 口 进行 的 指令 








[root@clientlinux ~]# ssh -L 5911:127.0.0.1:5901 -N 192.168.100.254 
root(@192.168.100.254's password: 
<== 登 入 远程 仅 是 开启 一 个 监 听 塌 口 ， 所 以 停止 不 能 动作 


# 2. 在 客户 站 在 妨 一 个 终端 机 测试 看 看 ， 这 个 动作 不 需要 作 ， 只 是 查阅 
而 已 


[root@clientlinux ~]# netstat -tnlp| grep ssh 
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 
1330/sshd 

tcp 0 0 127.0.0.1:5911 0.0.0.0:* LISTEN 
3347/ssh 
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避 

tcp 0 0 :1::22 :::* LISTEN 

1330/sshd 

[root@clientlinux ~]# netstat -tnap| grep ssh 
tcp 0 0 192.168.100.10:55490 192.168.100.254:22 ESTABLISHED 
3347/ssh 


# 在 客户 端 启 动 5911 的 起 口 是 ssh 启动 的 ， 同 一 个 PID 也 联机 到 远程 
喔 ! 


接 下 来 你 就 可 以 在 客户 端 (192.168.100.10, clientlinux.centos.vbird) 使 用 


『[ wncviewer ”localhost:5911  」 来 联机 ,， 但 是 该 联机 却 会 连 到 
www.centos.vbird 





(192.168.100.254) 那 部 主机 的 port 5901 喔 ! 不 相信 吗 ? 当 你 达成 VNC 
联机 后 ， 


到 www.centos.vbird 那 部 主机 上 面 瞧 瞧 融 知道 了 : 
# 3. 在 服务 器 端 测试 看 看 ， 这 个 动作 不 需要 作 ， 只 是 吾 阅 而 已 








[root@www ~]# netstat -tnp | grep ssh 

tcp 0 0 127.0.0.1:59442 127.0.0.1:5901 ESTABLISHED 

7623/sshd: root 

tcp 0 0 192.168.100.254:22 192.168.100.10:55490 ESTABLISHED 
7623/sshd: root 

# 明显 的 看 到 port 22 的 程序 同时 联机 到 port 5901 喔 ! 

那 如 何 取消 这 个 联机 呢 ? 先 关闭 VNC 之 后 ， 然 后 再 将 


clientlinux.centos.vbird 的 


第 一 个 动作 (ssh -L ..) 按 下 [culj-e 就 中 断 这 个 加 密 通道 哪 ! 这 样 会 使 用 
了 吗 ? 


你 可 以 将 这 个 动作 用 在 任何 服务 上 喔 ! 
11.6.4 以 ssh 信道 配合 X server 传递 图 形 接口 


从 前 一 个 小 节 我 们 知道 ssh 可 以 进行 程序 的 加 密 传 递 ， 亦 即 ssh 通道 
啦 ! 那么 可 


不 可 以 用 在 X 上 面 呢 ? 意思 是 说 ， 那 我 能 不 能 不 要 启动 甚么 很 复杂 的 
接口 ， 就 是 在 原 


有 的 接口 感 下 使 用 ssh 信道 ， 将 我 所 需要 的 服务 右上 面 的 图 形 接 口传 过 
来 就 好 了 ? 是 


可 以 的 喔 ! 乌 哥 用 一 个 Windows 上 面 的 Xming X server 作 范 例 好 了 。 
整个 动作 是 这 


样 的 : 


先 在 Windows 上 面 启 动 XLaunch， 并 设 定好 联机 到 www.centos.vbird 
的 


























相关 信息 ; 


启动 ”Xming 程序， 会 取得 一 个 xterm ， 程序 ， 该 程序 是 
www.centos.vbird 


的 程序 ; 
开始 在 xterm 上 面 执 行 X 软件 ， 束 会 在 Windows 果 面 上 面 显示 哆 ! 


那 我 们 就 开始 来 处 理 一 下 Xming 这 个 程序 吧 ! 局 动 XLaunch 之 后 出 现 
下 图 模样 : 
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Select display settings 
Choose how Kmine displays programs. 








加 Multiple windows © Fullscreen 

© One window S One window 
without tidebar 

Display number 0 








[ED 





Select how to start Xming 
Choose session type and whether a client is started tmmediately. 










© Start no dient 


This will just start ,You will be able to start local dients later., 


(©) start a program 


This will start a local or remote program which will connect to Xming, You will be able to 


start local dients later too, Remote programs are started Using PUTTY/SSH， 


Open session Via XDMCP 
This will start a remote XDPTICP session, Starting local clients later is limited, This option 
is not available with the "Multiple windows mode., 


RS 





图 11.6-2、 启 动 XLaunch 程序 -选择 显示 模式 


记得 上 图 中 要 选择 Multiple windows 会 比较 
步 ] 会 出 现 


下 图 : 
图 11.6-3、 设 定 XLaunch 程序 -选择 联机 方式 
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Y 


人 村 


亮 嗓 ! 然后 按 下 『 下 一 





TO 
Enter or choose one X client to Run Local or Run Remote CO 


The program chooser can be populated by adding Programl="a" to Programl10="]" 
to a contig.xlaunch file. 









Start program xterm 下 
© Run Local 

Run Re 

图 Using PUTTY (plink.exe) © Using SSH {ssh.exe) 四] With compression 
Connect to computer 192, 168, 100,254 

Login as user root 

Password (eave blank if using PUTTY pageant) 全 生生 生生 





[上 = 步 B)][ 下 - 步 m>]】 ( 取 % ] ( 褒 明 | 





动 一 只 程序 ， 并 且 是 开放 在 ssh/putty 之 类 的 软件 帮忙 进行 ssh 
EEN 


建立 曜 ! 然后 下 一 步 吧 。 
图 11.6-4、 设 定 XLaunch 程序 - 设 定 远 程 联机 的 相关 参数 


Xming 会 主动 的 启动 一 个 putty 的 程序 帮 你 连 进 sshd 服务 器 ， 所 以 这 里 
得 要 大 


忙 设 定好 账号 密码 的 相关 信息 。 鸟 哥 这 里 假设 你 的 sshd 尚未 取消 root 
登入 ， 因 此 


这 里 使 用 root 的 权限 喔 ! 
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Specify parameter settings < 
Enter clipboard, remote font server, and all other parameters. 








加 clipboard [| No Access Control 

Start the integrated dipboard manager Disable 5erver Access Control 
Remote font server (if any) 

Additional parameters for Xming 





Additional parameters for PuTTY or SSH 








= 7 局 ] 记 丙 站 





Configuration complete * 
Choose whether to save your settings to an KL file. 





Click Finish to start Xming, 


optional 






You may also 'Save confi on for re-use (run automatically or alter via -load option), 


Include PUTTY Password as insecure clear text 








< 上 一 步 (B) 











图 11.6-5、 设 定 XLaunch 程序 -是 否 支 持 复 制 贴 上 功能 
使 用 默认 值 吧 ! 直接 下 一 步 。 








图 11.6-6、 设 定 XLaunch 程序 -完成 设 定 
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[rootBwww “]# hostname 
www,centos, vbird 
[rootBwww “]# 国 





EN 


~ 


[ 
< 一 SF 


很 简单 ! 这 样 就 完成 设 定 了 ! 请 按 下 完成 ， 你 就 会 看 到 Windows 的 时 
面 葛 然 出 现 


如 下 的 图 示 了 ! 
图 11.6-7、Windows 桌面 出 现 的 X client 程序 
上 面 这 只 程序 就 是 xterm 这 个 X 的 终端 机 程序 。 你 可 以 在 上 面 输入 指 


人 入， 该 相仿 


会 传送 到 Linux server ， 然后 再 将 你 要 执行 的 图 形 数据 透 过 ssh 信道 传 
送 到 目前 的 


Windows 上 面 的 Xming ， 你 的 Linux 完全 不 用 启动 VNC, X, xrdp 等 服 
务 ! 只 要 有 

sshd ”就 搞定 了 ! 就 是 这 么 简单 ! 例如 乌 哥 输入 几 个 游戏 程序 ， ”你 的 
Windows 窗口 (看 








任务 栏 就 知道 了 ) 就 会 出 现 这 样 的 情况 
Tips: 
事实 上 ， 我 们 的 basic server 安装 方式 并 没有 帮 你 安装 xterm 





喔 ! 所 以 ， 你 得 要 自己 安装 xterm 才 行 ! yum install xterm 束 
安装 好 啦 ! 然后 上 面 的 动作 再 重 来 一 次 ， 就 可 以 成 功 吵 ! 而 底下 的 
图 标 里 面 的 相关 软件 ， 也 是 需要 你 自己 安装 的 哟 ! 人 人 
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种 Welcome to CentOS - Mozilla Firefox [IIS % 
File Edit View History Bookmarks Tools Help 


y 独 x 和 任 |® file:///usrishare/ldodt YY | 区 


"| 圈 MostyvisitedY |@ Centos [@Wik | 人 @ Documentation | 国 Forums 


图 Welcome to CentOs SR 
PP 








| EE Welcome to Firefox 





吉 CentOS 1 
X rooct@www-~ 
De Welcome to CentOS 
Ee ~]# Firefox 名 
[rootemwu “J# 0 J The Community ENTerprise ] 
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图 11.6-8、Windows 桌面 出 现 的 X client 程序 


11.7 重点 回顾 
远程 联机 服务 器 可 以 让 使 用 者 在 任何 一 部 计算 机 登入 主机 ， 以 使 用 主 





机 的 资 
源 或 管理 与 维护 主机 ; 

常见 的 远程 登录 服务 有 rsh, telnet, ssh, vnc, xdmcp 及 RDP 等 ; 

telnet 与 rsh 都 是 以 明码 传输 数据 ， 当 数据 在 Internet 上 面 传输 时 较 不 
安全 ; 


> 由 于 使 用 密 钥 系统 ， 因 此 数据 在 Internet 上 面 传输 时 是 加 密 过 的 ， 


以 较为 安全 ; 
但 ssh 还 是 属于 比较 危险 的 服务 ， 请 不 要 对 整个 Internet 开放 ssh 的 


可 





登入 权限 ， 可 利用 iptables 规范 可 登入 范围 ; 
ssh 的 public Key 是 放 在 服务 器 端 ， 而 private key 是 放 在 client 端 ; 
ssh 的 联机 机 制 有 两 种 版 本 ， 建 议 使 用 可 确认 联机 正确 性 的 version 2 


使 用 ssh 时， 尽量 使 用 类 似 email 的 方式 来 登入 ， 亦 即 : ssh 
username@hostname 

client 端 可 以 比 对 server 传 来 的 public key 的 一 致 性 ， 利 用 的 档案 为 
~user/.ssh/known_hosts:; 

ssh 的 client 端 软件 提供 ssh, scp, sftp 等 程序 ; 

制作 不 需要 密码 的 ssh 账号 可 利用 ssh-keygen -t rsa 来 制作 public, 


private Key pair; 


上 述 指令 所 制作 出 的 public key 必须 要 上 传 到 server 的 
~user/.ssh/authorized_keys 档案 中 ; 


Xdmcp 是 透 过 X display manager (xdm, gdm, kdm 等 ) 所 提供 的 功能 协 
议 ; 
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若 client 端 为 Linux 时 ， 需 要 在 X 环境 下 以 xhost 增加 可 连接 到 本 机 
X Server 的 卫 才 行 ; 
除了 Xdmcp 之 外 ， 我 们 可 以 利用 VNC 来 进行 X 的 远程 登录 架构 ; 


VNC 预 设 开 的 port number 为 5900 开始 ， 每 个 port 仅 允 许 一 个 联 
几 ; 


rsync 可 透 过 ssh 的 服务 通道 或 rsync --daemon 的 方式 来 联机 传输 ， 其 


仅 备份 新 的 数据 ， 因 此 传输 备份 速 
度 相当 


速 ! 
11.8 本 章 习 题 


与 SSH 者 是 远程 联机 服务 器 ， 为 何 我 们 都 会 推荐 使 用 SSH 而 
避 


使 用 Telnet 呢 ? 原因 何在 ? 
因为 Telnet 除了 使 用 『 明 码 」 传 送 数据 外 ， 本 映 telnet 就 是 很 容易 被 入 


所 以 当然 也 就 比较 危险 了 。 至 于 ssh 其 实 也 不 是 很 安 
1 





合 湾 计算 机 危 包机 处 理 小 组 的 文件 可 以 明显 的 发 现 openssl + openssh 也 


是 各 
常 有 漏洞 在 发 布 ! 不 过 ， 比 起 telnet 来 说 ， 确 实 是 稍微 安全 一 些 ! 
请 尝试 说 明 SSH 在 Server 与 Client 端 联机 时 的 封包 加 密 机 制 ; 
利用 key pair 来 达到 加 密 的 机 制 : Server 提供 Public Key 给 Client 端 
演算 Private key ， 以 提供 封包 传送 时 的 加 密 、 解 密 ! 
了 SSH 的 配置 文件 是 哪 一 个 ?如 果 我 要 修改 让 root 无 法 使 用 SSH 











机 进入 我 的 SSH 主机 ， 应 该 如 何 设 定 ? 又 ， 如 果 要 让 badbird 这 个 用 户 
无 法 登 


入 SSH 主机 ， 该 如 何 设 定 ? 
SSH 配置 文件 档 名 为 sshd_config ， 通 名 放置 在 /etc/ssh/sshd_config 
内 ; 如 果 不 想 让 root 登入 ， 可 以 修改 sshd_config 内 的 参数 成 为 : 


[PermitRootLogin no 」， 并 重新 启动 ssh 来 设 定 ! 如 果 要 让 badbird 使 
用 


者 无 法 登入 ， 同 样 在 sshd_config 里 面 设 定 为 : 『DenyUsers badbird」 即 
可 ! 


在 Linux 上 ， 预 设 的 Telnet 与 SSH 服务 器 使 用 的 塌 口 port number) 各 
为 多 少 ? 
telnet 与 ssh 的 塌 口 分 别 是 : 23 与 22! 请 参考 /etc/services 喔 ! 

如 果 发 现 我 无 法 在 Client 端 使 用 ssh 程序 登入 我 的 Linux 主机 ， 但 是 
Linux 主机 却 一 切 正常 ， 可 能 的 原因 为 何 ? (防火 墙 、known_hosts...) 














无 法 登入 的 原因 可 能 有 很 多 ， 最 好 先 查 询 一 下 /var/log/messages 里 面 的 
错误 讯 娠 来 判 岂 ， 当 然 ， 还 有 其 他 可 能 的 原因 为 : 
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O 

1. 被 防火 墙 挡 住 了 ， 请 以 iptables -L -n 来 察看 ， 当 然 也 要 察看 
/etc/hosts.deny; 

2. 可 能 由 于 主机 重新 启动 过 ， public key 改变 了 ， 请 修改 你 的 
~/ssh/known_hosts 里 面 的 主机 卫 ; 

3. 可 能 由 于 /etc/ssh/sshd_config 里 面 的 设 定 问题 ， 导 致 你 这 个 使 用 
者 无 法 使 用 ; 

4. 在 /etc/passwd 里 面 ， 你 的 user 不 具有 可 以 登入 的 shell ; 

5. 其 他 因素 (如 账号 密码 过 期 等 等 ) 


既然 ssh 是 比较 安全 的 资料 封包 传送 方式 ， 那 么 我 就 可 以 在 Internet 
正 





面 开 放 我 的 Linux 主机 的 SSH 服务 了 吗 ? ! 请 说 明 你 选择 的 答案 的 原 
因 | ! 


Internet 开放 你 的 SSH 服务 ， 因 为 SSH 的 加 密 函 式 库 使 用 


是 openssl ， 一 般 Linux distribution 使 用 的 SSH 则 是 openssh ， 这 两 个 


僚 件 带 实 上 仍 有 个 少 的 漏洞 被 发 布 过 ， 因此 ， 最 好 不 要 对 Internet 开 
Si 


放 ， 于 网 


SSH 对 于 主机 的 权限 是 很 高 的 ! 


11.9 参考 数据 与 延伸 阅读 
注 1: 与 SSH 服务 占有 关 的 两 个 重要 官网 





注 3: XDMCP 维基 百科 : 


http://en.wikipedia.org/wiki/X display manager (program type 
注 4: 教 你 怎么 设 定 gdm 的 custom.conf 
http://www.idevelopment.info/data/Unix/Linux/LINUX ConfiguringXDMCP 
dHatLinux.shtml 
http:/www.yolinux.conm/TUTORIALS/GDM XDMCP.html 
注 5: 自由 的 X server -- Xming: 
http://sourceforge.net/projects/xming/ 
注 6: 与 VNC 相关 的 资料 
man vncserver, man Xvnc 
使 用 XX 的 VNC Module: 
http://phorum.study-area.org/Vviewtopic.php?t=25713 
http://fedoranews.org/tchung/vnc/03.shtml 


注 7: 维基 百科 : 
http://en.wikipedia.org/wiki/Remote Desktop Protocol 
注 8: 官网 在 http:/xrdp.sourceforge.net/ 
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注 9: Fedora 基金 会 提供 的 Extra Packages for Enterprise Linux (EPEL) 
计划 : 
http://fedoraproject.org/wiki/EPEL 
注 10: rsync 的 相关 用 法 介绍 : 
第 学 园 : 用 rsync 做 备份 : 
http://phorum.study-area.org/viewtopic.php?t=15553 
ADJ 实验 室 的 rsync + SSH: http://www.adj.idv.tw/server/linux_rsync.php 
公 钥 加 密 机 制 的 维基 百科 解释 : 
http://en.wikipedia.org/wiki/Public Key Cryptography 
2002/11/14: 第 一 次 完成 


2003/03/08: 加 入 标 头 说 明 ， 与 修改 部 分 内 容 ， 例 如 Telnet 服务 器 软件 
的 安装 等 等 ， 


以 及 SSH 的 putty 使 用 中 文 状态 ! 
2003/09/09: 将 本 文 进行 一 些 修订 ， 此 外 ， 加 入 了 课 后 练习 ! 
2005/07/02: 将 旧 的 文章 移动 到 这 里 。 


2005/07/07: 好 不 容易 将 VNC 还 有 XDMCP 给 他 写 了 写 一 大 家 帮 鸟 哥 
参考 看 看 啊 一 


2005/07/09: 加 入 了 让 VNC 与 tty7 同步 的 vnc.so 模块 的 说 明 
2005/11/22: 加 入 了 RSH 服务 器 的 相关 资料 ! 


2006/09/18: 将 putty 的 介绍 转 成 pietty 的 介绍 ! 因为 pietty 更 好 用 ! 另 
外 也 将 


rsh 重新 改写 一 下 ， 校 稿 过 ! 


2006/09/19: 加 入 ”rsync 的 简易 说 明 与 操作 ! 最 文 来 的 习题 可 以 瞧 一 
瞧 ! 


2011/02/15: 将 旧 的 基于 CentOS 4.x 的 文章 移动 到 此 处 


2011/02/17: 忍痛 删除 telnet 服务 器 ， 毕 竟 真 的 很 少 用 了 一 包括 那个 rsh 
也 不 再 介 


绍 ! 有 兴趣 的 请 参考 CentOS 4.x 的 旧 文 章 吧 


2011/02/20: 将 sshd 服务 器 作 个 简单 的 修改 了 ， 增 加 一 些 篇 幅 来 说 明 相 
关 例 题 与 实 做 ， 


尤其 是 ~/.ssh/authorized_keys 的 权限 





2011/02/23: 修改 了 许多 Xdmcp，VNC 的 设 定 与 图 示 ， 最 重要 是 加 入 
xrdp 的 安装 与 使 


用 
2011/02/24: 加 入 Xming 透 过 X11 forward from ssh 的 方式 ! 
2011/07/25: 将 基于 CentOS 5.x 的 版 本 移动 到 此 处 


2011/07/26: 将 所 有 的 图 示 以 及 相关 的 网 站 IP 通通 改 为 CentOS 6.x 以 及 
第 三 章 谈 到 


的 区 网 架构 嘿 ! 
2011/11/24: 经 由 网 友 的 回报 ， 在 _ssh 联机 方式 里 面谈 到 的 公私 钥 系 统 


是 错误 的 ! 经 


过 查询 后 ， 己 经 将 正确 的 版 本 放 上 去 了 ! 





最 近 更 新 日 期 : 2011/07/27 


想象 两 种 情况 ;，(1) 如 果 你 在 工作 单位 使 用 的 是 笔记 本 电脑 ， 而 且 营 常 要 
带 着 你 的 笔记 本 电脑 到 处 跑 ， 那 


么 由 第 四 章 、 连 上 Internet 的 说 明 中 会 发 现 ， 哇 ! 我 的 网 络 卡 参数 要 常 
常 修改 啊 ! 而 且 ， 每 到 一 个 新 


的 地 方 ， 就 得 问 清 楚 该 地 的 网 络 参数 才 行 ! 真是 蚊 烦 。 (2) 你 的 公司 党 
常 有 访客 或 贵客 来 临 ， 因 为 他 们 


也 市 来 笔 电 ， 所 以 也 得 第 冲 跑 来 找 你 问 网 络 参数 才能 设 定 他 的 计算 机 。 
哇 ! 这 两 种 情况 都 会 让 你 想 里 并 


吧 ? 这 个 时 候 ， 动 态 主 机 设 定 协议 (DHCP) 可 就 大 大 的 派 上 用 场 啦 ! 
DHCP 这 个 服务 可 以 自动 的 分 配 IP 


与 相关 的 网 络 参数 给 客户 问 ， 来 提供 客户 端 自 动 以 服务 器 提供 的 参数 来 
设 定 他 们 的 网 络 。 如 此 一 来 ， 使 


用 者 只 要 将 自己 的 笔 电 设 定好 经 由 DHCP 协议 来 取得 网 络 参 数 后 ， 一 插 
上 网 络 线 ， 呵 呵 ! 马上 就 可 以 享 


受 Internet 的 服务 啦 ! 很 方便 吧 ! 所 以 得 来 瞧 一 瞧 这 个 好 用 的 协定 喔 ! 


12.1 DHCP 运作 的 原 玫 














12.1 DHCP 运作 的 原理 


在 正式 的 进入 DHCP (Dynamic Host Configuration Protocol) 服务 器 设 定 
之 前 ， 


我 们 先 来 认识 一 下 DHCP 这 个 协议 吧 ! 还 有 ， 需 要 了 解 的 是 ， 我 们 是 合 
[一 定 」 得 设 定 


DHCP 这 个 服务 器 呢 ? 这 里 都 需要 厘清 一 下 概念 喔 ! 
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. 
D 
12.1.1 DHCP 服务 器 的 用 途 


在 开始 DHCP 的 说 明之 前 ， 
面 提 下 的 | | 


个 网 络 参 数 吧 ! ”要 设 定好 一 个 网 络 的 环境 ， 使 计算 机 可 以 顺利 的 连 上 
Internet ， 那 


么 你 的 计算 机 里 面 一 定 要 有 放下 几 个 网 络 的 参数 才 行 ， 分 别 是 : 








IP, netmask, network, broadcast, gateway, DNS IP 
其 中 ， 那 个 IP, netmask, network, broadcast 与 gateway 都 可 以 在 


/etc/sysconfig/network-scripts/ifcfg-eth[0-n] 这 档案 里 面 设 定 ，DNS 服务 
器 的 地 


址 则 是 在 /etc/resolv.conf 里 头 设 定 。 只 要 这 几 个 项 目 设 定 正确 ， 那 么 计 
算 机 应 该 整 


没 问 题 的 可 以 上 网 了 ! 所 以 说 ， 你 家 里 面 的 3, 4 部 计算 机 ， 你 都 可 以 


手动 的 来 设 定 


好 你 所 需要 的 网 络 参数 ， 然后 利用 NAT 
摆 的 连 上 


Internet 了 ! 真是 不 错 入 入， 不 是 吗 ? 


好 了 ， 现 在 让 我 们 换 一 个 大 一 些 些 的 场景 吧 ! 假设 你 是 学 校 和 宿舍 的 网 络 


管理 员 ， 所 


管理 的 学 生计 算 机 大 概 有 100 部 好 了 ， 那 么 你 怎么 设 定好 这 100 部 的 计 
算 机 呢 ? 


1. 直接 每 一 部 计算 机 都 让 你 登门 拜访 手动 的 去 设 定好 ? 





设 定 ? 还 是 


， 籍 由 一 部 主机 来 上 自动 的 分 配 所 有 的 网 络 参 数 给 牡 售 内 的 任何 一 部 计算 
沁 ? 


这 三 种 解决 方案 押 需 要 的 时 间 都 不 相同 ， 如 果 你 选择 的 是 (D)， 那 么 乌 哥 
个 人 认为 ， 


你 不 是 工作 狂 惑 是 狗 反 了 ， ”因为 所 要 人 花费 的 时 间 与 你 所 得 的 新 水 与 付 
出 的 心力 是 完 


不 成 比例 的 。 如 果 选 择 是 (2)， 那 么 很 可 能 你 会 被 挂 上 独裁 者 、 ” 没 民心 
的 管理 员 的 称号 ! 


如 末 是 选择 (3) 呢 ? 恭喜 你 ! 这 个 方 采 的 管理 时 间 花 费 最 短 ， 也 是 最 不 且 
烦 的 作法 啦 ! 


呵呵 ! 知道 鸟 哥 要 说 些 什 么 了 吗 ? 是 的 ! 这 个 DHCP (Dynamic Host 
Configuration 


Protocol) 服务 器 最 主要 的 工作 ， 就 是 在 进行 上 面 的 第 三 个 方案 ， 也 就 是 








目 动 的 将 网 络 


参数 正确 的 分 配给 网 域 中 的 每 部 计算 机 ， ”让 客户 并 的 计算 机 可 以 在 开 
机 的 时 候 就 立即 


目 动 的 设 定好 网 络 的 参数 值 ， 这 些 参数 值 可 以 包括 了 IP、netmask、 


network、 gateway 


与 DNS 的 地 址 等 等 。 如 此 一 来 ， 喘 为 管理 员 的 你 ， 只 要 注意 到 这 一 部 
提供 网 络 参数 的 


主机 有 没有 挂 掉 就 好 了 ， ”其 他 同学 们 的 个 人 计算 机 ， 哈 ! 你 想 都 不 必 
想 要 党 从 去 融 忙 ! 


因为 DHCP 主机 已 经 完全 都 帮 你 搞定 啦 ! 和 人 和信 ! 阿 ! 当 管 理 员 最 大 的 斑 
福 就 是 可 以 喝 


喝 茶 、 聊 聊天 就 能 控 管 好 一 切 的 网 络 问题 呢 ! 
12.1.2 DHCP 协议 的 运作 方式 
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用 户 端 何 服 融和 病 
Port 68 Port 67 






搜索 DHCP { 可 月 了 
J Ds 
broadeast 
Re 
DHCP 参数 扣发 
unicast 
DHCP 倒数 选 摊 
broadeast 
DHCP 限 务 砍 认 
unicast 


时 疝 





你 必需 要 知道 的 是 ，DHCP 通常 是 用 于 局 域 网 络 内 的 一 个 通讯 协议 ， 他 
主要 籍 由 客 


户 端 传送 广播 封包 给 整个 物理 网 段 内 的 所 有 主机 ， ”车 局 域 网 络 内 有 


DHCP 服务 器 时 ， 


才 会 啊 应 客户 端的 卫 参数 要 求 。 所 以 哆 ，DHCP 服务 器 与 客户 并 是 应 
该 要 在 同一 个 物 


理 网 段 内 的 。 至 于 整个 DHCP 封包 在 服务 器 与 客户 端的 来 来 回回 情况 
有 点 像 夺 下 这 样 : 


[1 工 | 

图 12.1-1、 

户 端 取得 IP 参数 的 程序 可 以 简化 如 下 : 

1. 客户 端 : 利用 广播 封包 发 送 搜索 DHCP 服务 器 的 封包 : 


香客 户 端 网 络 设 定 使 用 DHCP 协议 取得 卫 (在 Windows 内 为 『 自 动 取 
得 IP」)， 


则 当 客 户 端 开机 或 者 是 重新 启动 网 络 卡 时 ， ”客户 端 主机 会 发 送出 搜寻 
DHCP 服 


务 器 的 UDP 封包 给 所 有 物理 网 段 内 的 计算 机 。 此 封包 的 目标 卫 会 古 


所 以 一 般 主机 接收 到 这 个 封包 后 会 直接 予以 丢弃 ， 但 
行 局 声 


网 络 内 有 DHCP 服务 器 时 ， 则 会 开始 进行 后 续 行 为 。 
2. 服务 器 端 : 提供 客户 端 网 络 相 关 的 租约 以 供 选 择 : 


DHCP 服务 器 在 接收 到 这 个 客户 端的 要 求 后 ， 会 针对 这 个 客户 端的 便 件 
地 址 (MAC) 


与 本 身 的 设 定数 据 来 进行 下 列 工作 : 
o 到 服务 器 的 登录 文件 中 寻找 该 用 户 之 前 是 否 曾 经 用 过 某 个 IP ， 知 有 
且 该 耳目 前 无 人 使 用 ， 则 提供 此 卫 给 客户 端 ; 














0 右 配 置 文件 针对 该 MAC 提供 额外 的 固定 IP (static IP) 时 ， 则 提 

供 该 固定 IP 给 客户 端 ; 

0 和 右 不 符合 上 述 两 个 条 件 ， 则 随机 取 用 目前 没有 被 使 用 的 IP 参数 给 客 
户 端 ， 并 记录 下 来 。 


总 之 ， 服 务 器 端 会 针对 客户 端的 要 求 提供 一 组 网 络 参数 租约 给 客户 端 选 
择 ， 由 于 
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此 时 客户 端 尚 未 有 IP ， 因 此 服务 器 端 响 应 的 封包 信息 中 ， 主要 是 针对 
客户 端 


的 MAC 来 给 予 回 应 。 此 时 服务 需 端 会 保留 这 个 租约 然后 开始 等 待 客户 
端的 回应 。 


3. 客户 端 : 决定 选择 的 DHCP 服务 器 提供 的 网 络 参数 租约 并 回报 服务 
器 : 








由 于 局 域 网 络 内 可 能 并 非 仅 有 一 部 DHCP 服务 器 ， 但 客户 端 仅 能 接受 一 
组 网 络 参 


数 的 租约 。 ”因此 客户 端 必需 要 选择 是 否 要 认可 该 服务 器 提供 的 相关 网 
络 参数 的 


租约 。 当 决定 好 使 用 此 服务 器 的 网 络 参数 租 约 后 ， “客户 端 便 开 始 使 用 
这 组 网 络 


参数 来 设 定 自 己 的 网 络 环境 。 此 外 ， 客 户 端 也 会 发 送 一 个 广播 封包 给 所 
有 物理 网 


段 内 的 主机 ， ”告知 已 经 接受 该 服务 器 的 租约 。 此 时 知 有 第 二 人 台 以 上 的 
DHCP 服 


务 器 ， 则 这 些 没 有 被 接受 的 服务 器 会 收回 该 IP 租约 。 至 于 被 接受 的 
DHCP 服务 








器 会 继续 进行 底下 的 动作 。 

4. 服务 器 端 : 记录 该 次 租约 行为 并 回报 客户 端 已 确认 的 响应 封包 信息 : 
De 
客户 站 这 个 网 络 参 数 租约 的 期 限 ， “并 且 开 始 租约 计时 喔 ! 那么 该 次 租 
约 何 时 会 

到 期 而 被 解约 ( 真 可 怕 的 字眼 ) ? 你 可 以 这 样 想 : 

o 客户 端 脱 机 : 不 论 是 关闭 网 络 接口 (ifdown)、 重 新 启动 (reboot)、 
关机 (shutdown) 等 行为 ， 皆 算是 脱 机 状态 ， 这 个 时 候 Server 端 就 会 将 
该 卫 回收 ， 并 放 到 Server 自己 的 备用 区 中 ， 等 待 未 来 的 使 用 ; 

o 客户 端 租约 到 期 : 前 面 提 到 DHCP server 端 发 放 的 IP 有 使 用 的 期 


限 ， 客 户 端 使 用 这 个 “” IP ”到 达 期 限 规定 的 时 间 ， 而 且 没 有 重新 提出 
DHCP 


的 申请 时 ， 就 需要 将 IP 缴 回去 ! 这 个 时 候 就 会 造成 断 线 。 但 用 户 也 可 
以 











再 向 DHCP 服务 器 要 求 再 次 分 配 IP 吕 。 


以 上 就 是 DHCP 这 个 协议 在 Server 端 与 Client 端的 运作 状态 ， 由 上 面 
这 个 运作 

状态 来 看 ， 我 们 可 以 晓得 ， 只 要 Server 端 设 定 没 有 问题 ， 加 上 Server 
与 Client 在 


硬件 联机 上 面 确定 是 OK 的 ， 那 么 Client 就 可 以 直接 藉 由 Server 来 取得 
上 网 的 网 络 


参数 ， 当 然 啦 ， 只 要 我 们 这 些 管理 员 能 够 好 好 的 、 正 确 的 管理 好 我 们 的 
DHCP 服务 器 ， 





嘿嘿 ! 那么 上 网 的 设 定 目 然 束 变 成 一 件 很 简单 的 事情 啦 ! 不 过 ， 关 于 上 
述 的 流程 还 是 有 


一 些 需 要 额外 说 明 的 啦 : 


DHCP 服务 器 给 予 客户 端的 IP 参数 为 固定 或 动态 : 


在 上 面 的 步骤 里 面 ， 注 意 到 第 二 步骤 了 吗 ? 就 是 服务 器 会 去 比较 客户 端 
的 MAC 硬 


件 地 址 ， 并 判断 该 MAC 是 否 需要 给 予 一 个 固定 的 卫 呢 ! 所 以 啦 ， 我 们 
可 以 设 定 DHCP 


服务 器 给 予 客 户 端的 卫 参数 主要 有 两 种 : 
固定 (Static) IP: 
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只 要 那个 客户 端 计算 机 的 网 络 卡 不 换 掉 ， 那 么 MAC 肯定 就 不 会 改变 ， 
由 于 DHCP 


可 以 根据 MAC 来 给 予 固定 的 耳 参数 租约 ， 所 以 该 计算 机 每 次 都 能 以 一 
个 固定 


的 IP 连 上 Internet ! 呵呵 ! 这 种 情况 比较 适合 当 这 部 客户 端 计算 机 需 


要 用 


I (所 以 IP 要 固定 )。 那 么 
0 何在 


Linux 上 面 知 道 网 络 卡 的 MAC 了 呢 ? 很 简单 啦 ! 有 很 多 的 方式 ， 最 简单 
的 方式 束 


是 使 用 ifconfig 及 arp 来 进行 : 
#1. 观察 自己 的 MAC 可 用 ifconfig: 





[root@www ~]#ifconfig | grep HW 

eth0 Link encap:Ethernet HWaddr 08:00:27:71:85:BD 
ethl Link encap:Ethernet HWaddr 08:00:27:2A:30:14 
# 因为 乌 哥 有 两 张 网 卡 ， 所 以 有 两 个 硬件 地 址 喔 ! 
# 2. 观察 别人 的 MAC 可 用 ping 配合 arp 


[root@www ~1# ping -c 3 192.168.1.254 





[root@www ~]# arp -n 

Address HWtype HWaddress Flags Mask Iface 

192.168.1.254 ether 00:0c:6e:85:d5:69 C eth0 
动态 (dynamic) IP: 


0 端 每 次 连 上 DHCP 服务 器 所 取得 的 卫 都 不 是 固定 的 ! 都 直接 经 
DHCP 


所 随机 由 尚未 被 使 用 的 卫 中 提供 ! 


除非 你 的 局 域 网 络 内 的 计算 机 有 可 能 用 来 做 为 主机 之 用 ， 所 以 必需 要 设 


IP ， 人 否则 使 用 动态 IP 的 设 定 比 较 简 单 ， 而 且 使 用 上 面具 有 较 佳 的 弹 
性 #; 在 入 说 昵 ? 


假如 你 是 一 个 ISP 好 了 ， 而 你 只 申请 到 150 个 IP 来 做 为 你 的 客户 联机 
之 用 。 那 么 你 


古 否 真 的 只 能 邀集 到 150 的 使 用 者 ? 呵呵 ! 当然 不 喝 ! 我 可 以 邀集 200 
个 使 用 者 以 上 


呢 ! 





和 餐 只 能 卖 给 20 个 人 昵 ?当然 不 是 啦 ! 因为 客人 是 人 来 人 往 的 ， 有 人 先 
吃 有 人 后 吃 ， 所 


以 同样 是 20 个 座位 ， 但 是 可 以 有 40 个 人 来 吃 我 的 简 餐 ， 因 为 来 的 时 间 
不 一 样 咏 ! 了 


解 了 吗 ? 呵呵 ! 对 啦 ! 你 这 个 ISP 虽然 只 有 150 个 IP 可 以 发 放 ， 但 是 
因为 你 的 使 用 


者 并 非 24 小 时 都 挂 在 在 线 的 ， 所 以 你 可 以 将 这 150 个 卫 做 良好 的 分 
配 ， 让 200 个 


人 来 『 轮 流 使 用 上 这 150 个 IP 哩 ! 
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Tips: 
其 实 IP 只 有 Public IP 与 Private IP 两 种 ， 中 文 翻译 成 『 公 共 

IP」 与 1 私有 IP」 这 两 个 ， 人 至 于 其 他 所 谓 的 『 静 态 IP] 、『 实 体 
IP] 、『 虚 拟 IP」  、『 浮 动 式 IP」 等 等 ， 都 是 籍 由 一 些 IP 取得 
的 方式 来 分 类 的 ， 关 于 IP 的 种 类 我 人 
得 再 好 好 的 厘清 一 下 观念 喔 ! 


事实 上 现在 主流 的 ADSL 宽带 拨 接 上 网 也 有 使 用 到 『 静 态 IP 」 与 『 固 
定 IP」 之 类 的 








概念 喔 ! 举例 来 说 好 了 ，hinet/seed net 等 主要 ISP 都 有 提供 所 谓 的 : 
[一 个 固定 IP 


搭配 7~8 个 浮动 IP 」 的 ADSL 拨 接 功能 ， 也 就 是 说 同样 透 过 一 条 电话 
线 拨 接 到 ISP ， 


i 而 其 他 的 则 是 非 固定 的 IP 
，DHCP 的 


static/dynamic 跟 这 个 玩意 儿 有 点 类 似 啦 ! 人 人 


关于 租约 所 造成 的 问题 与 租约 期 限 : 


怪 了 ! 如 果 我 们 观察 上 面 DHCP 运作 模式 的 第 四 个 步骤 ， 你 会 发 现 最 后 
DHCP 服务 


器 还 会 给 予 一 个 租约 期 限 ! ， 干 嘛 还 要 这 样 的 一 个 期 限 呢 ? 其 实 设 定期 
限 还 是 有 个 优点 


啦 ! 最 大 的 优点 就 是 可 以 避免 IP 被 某 些 使 用 者 一 直 占 用 着 ， 但 该 使 用 
者 却 是 Idle (发 


不 ) 的 状态 ! 


举 个 例 了 来 说 ， 我 们 刚刚 不 是 说 到 ， 我 有 150 个 IP ， 但 是 偏偏 我 有 200 
用户 


吗 ? 我 们 以 2010 年 的 世界 杯 足 球赛 来 说 明 好 了 。 假 设 每 个 使 用 者 都 急 
着 上 网 知道 世 足 


者 的 消 恩 ， ”那么 某 些 热门 对 战 时 段 网 络 将 可 能 达到 使 用 尖峰 ! 也 就 是 
说 ， 这 200 个 人 


同时 要 来 使 用 这 150 个 IP ， 有 可 能 吗 ? 当然 不 可 能 ! 肯定 会 有 50 个 人 
无 法 联机 ， 














因为 『 很 抱歉 ! 目前 系统 正在 忙 线 中 ， 请 你 稍 后 再 拨 ! | 


那 怎 么 办 ? 这 个 时 候 租约 到 期 的 方式 就 很 有 用 处 啦 ! 那 几 个 已 经 联机 进 
来 很 久 的 人 ， 


就 会 因为 租约 到 期 而 被 迫 脱 机 ， 这 个 时 候 该 IP ”就 会 被 释放 出 来 ， 哈 
哈 ! 大 家 赶快 抢 呀 ! 


先 抢 到 先 电 喔 ! 所 以 ， 那 50 个 人 (包括 被 迫 脱 机 的 那个 朋友 ) 只 好 继续 
的 、 努 力 的 、 


加 油 的 来 进行 DHCP 的 要 求 哩 ! 和信" 
虽然 次 是 优点 ， 但 是 其 实 如 果 站 在 使 用 者 的 角度 来 看 ， 还 是 可 能 会 造成 


公愤 的 ! 和 攒 


什么 大 家 一 起 交 钱 ， ”我 先 联 机 进来 就 需要 先 补 踊 出 去 ? 一 呵呵 ! 所 以 
网 ， 如 果 要 当 ISP ， 


还 是 得 要 先 规划 好 服务 的 方针 才 行 噶 ! ” 这样 你 可 以 了 解 租约 到 期 的 行 
为 了 吗 ? ! AAA 


既然 有 租约 时 间 ， 那 么 是 否 代 表 我 用 DHCP 取得 的 卫 就 得 要 『 手 动 ] 
的 在 某 个 时 


间 点 去 重新 取得 新 的 IP 呢 ? 不 需要 的 啦 ! 因为 目前 的 DHCP 客户 端 程 
序 大 多 会 主动 的 


依据 租约 时 间 去 重新 申请 IP (renew) 的 ! 也 就 是 说 在 租约 到 期 前 你 的 
DHCP 客户 问 程 


序 就 已 经 叉 重 新 申请 更 新 租约 时 间 了 。 上 所 以 除非 DHCP 主机 挂 点 ， 个 
则 你 所 取得 的 了 P 


应 该 是 可 以 一 直 使 用 下 去 的 ! 
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el ~ 
Cn) 可 加 寻 
一 > GE 
必 
Tips: 


一 般 来 说 ， 假 设 租 约 期 限 是 T 小 时 ， 那 么 客户 端 在 0.5T 会 主动 向 
DHCP 服务 器 发 出 重新 要 求 网 络 参 数 的 封包 。 如 果 这 次 封包 要 求 没 
有 成 功 ， 那 么 在 0.875T 后 还 会 再 次 的 发 送 封包 一 次 。 正 因 如 此 ， 

所 以 服务 器 端 会 启动 port 67 监听 用 户 要 求 ， 而 用 户 会 启动 port 

68 主动 向 服务 器 要 求 哩 ! 鸟 哥 觉得 这 是 很 特殊 的 一 件 事 呢 ! 








多 部 DHCP 服务 器 在 同一 物理 网 段 的 情况 


或 许 你 曾经 发 现 过 一 件 事 情 ， 那 就 是 当 我 的 网 域 里 面 有 两 部 以 上 的 
DHCP 服务 器 时 ， 


到 后 哪 一 部 服务 器 会 提供 我 的 这 部 客户 端 计算 机 所 及 出 的 DHCP 要求 ? 
呵呵 ! 很 抱 妆 ， 


俺 也 不 晓得 ! 因为 在 网 络 上 面 ， 很 多 时 候 都 是 『 先 抢先 电 」 的 ， DHCP 
的 回应 也 是 如 


此 ! 当 Serverl 先 啊 应 时 ， 你 使 用 的 束 是 Serverl 所 提供 的 网 络 参 数 内 
容 ， 如 果 是 


Server2 先 响应 ， 你 就 是 使 用 Server2 的 参数 来 设 定 你 的 客户 端 PC ! 不 
过 ， 前 提 之 


下 当然 是 这 些 计算 机 的 『 物 理 联 机 」 都 是 在 一 起 的 啊 ! 








因为 这 个 特色 的 关系 ， 所 以 当 你 在 练习 DHCP 服务 器 的 设 定之 前 ， 不 
要 在 已 经 正 


常 运作 的 区 网 下 测试 ， 否 则 会 很 惨 。 举 个 鸟 哥 的 例子 来 说 好 了 ， 某 一 次 
其 他 系 的 研究 生 


在 测试 网 络 安全 时 ， 在 原 有 的 区 网 上 面 放 了 一 部 IP 分 享 器 ， 结 果 你 猜 
怎么 着 ? 整 栋 


大 楼 的 网 络 都 不 通 了 ! 因为 那 时 整 栋 大 楼 的 网 络 是 串 接 在 一 起 的 ， 而 
我 们 学 校 是 使 用 


DHCP 让 客户 端 上 网 。 由 于 IP 分 享 器 的 设 定 并 不 能 连 上 Internet ， 哇 ! 
大 家 都 无 法 


上 网 了 啦 ! 那 你 晓得 了 吗 ? 不 要 随便 测试 啦 这 个 DHCP 服务 器 ! 
12.1.3 何 时 需要 架设 DHCP 服务 器 


既然 DHCP 的 好 处 是 『 免 客户 问 设 定 」， 而 且 对 于 行动 装置 的 上 网 方面 
非常 的 方便 ! 


那么 是 否 代 表 你 就 得 要 架设 一 部 DHCP 呢 ? 那 可 不 一 定 ! 接 下 来 要 告知 
大 家 的 是 儿 个 概 


念 性 的 问题 ， “你 倒 不 一 定 [必需 ] 遵守 底下 的 一 些 概念 呢 ! 反正 ， 目 
己 的 网 域 自 己 『[ 爽 ] 


束 好 啦 ! 














使 用 DHCP 的 几 个 时 机 


在 某 些 情况 之 下 ， 倒 是 强烈 的 建议 架设 DHCP 主机 的 ! 什么 情况 呢 ? 例 
如 : 


共有 相当 多 行动 装置 的 场合 : 


例如 你 的 公司 内 部 很 多 笔记 本 电脑 使 用 的 场合 ! 因为 这 种 笔 电 本 身 就 是 
移动 性 的 


装置 ， “如 采 每 到 一 个 地 方 都 要 去 问 人 家 『 喂 ! 你 这 边 的 网 络 参 数 是 什 
么 ? 」 还 
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得 要 担心 是 否 会 跟 人 家 的 IP 相 冲 突 等 等 的 问题 ! 这 个 时 候 ，DHCP 可 
就 是 你 的 


救星 吃 ! 
区 域内 计算 机 数量 相当 的 多 时 : 


男 外 一 个 情况 就 是 你 所 负 员 的 网 域内 计算 机 数量 相当 庞大 时 ， ”大 到 你 
没有 办 法 


一 个 一 个 的 进行 说 明 来 设 定 他 们 目 己 的 网 络 参数 ， 这 个 时 候 为 了 省 上 呆 


烦 ， 还 是 架 


设 DHCP 来 的 方便 响 ! 况且 ， 维 护 一 部 你 熟悉 的 DHCP 主机 ， 要 比 造 
po 


懂 计 算 机 的 人 要 简单 的 多 哩 ! ^ 和 
不 建议 使 用 DHCP 主机 的 时 机 


虽然 DHCP 有 很 多 好 处 ， 但 是 你 有 没有 发 现 一 个 步骤 怪 怪 的 呀 ! 回头 看 


又 一 ， ”客户 端 在 开机 的 时 候 会 主动 的 发 送 讯 恩 给 网 域 上 的 所 有 机 器 ， 
这 个 时 候 ， 如 果 


网 域 上 就 是 没有 DHCP 主机 呢 ? 很 抱 菊 ， 那 么 你 的 这 部 客户 端 计 算 机 ， 
[仍然 会 持续 的 




















发 送 讯 娠 ! 上 真正 的 时 间 与 次 数 不 晓 得 会 有 多 久 ， 不 过 ， 肯 定 会 超过 
30 秒 以 上 ， 甚 


至 可 以 达到 一 分 钟 以 上 ! 哇 ! 那么 这 段 时 间 你 能 干 嘛 ? 呵呵 ! 除了 等 、 
还 是 等 ! 所 以 


ke 如 末 计 算 机 数 不 多 ， 还 是 使 用 手动 的 方式 来 设 定 一 下 束 好 了 ! 方便 
嘛 ! 


所 
Da 


那么 似乎 就 没有 必要 架设 DHCP ; 


更 极端 的 情况 是 ， 像 一 般 家 里 ， 只 有 3 ~ 4 部 计算 机 ， 这 个 时 候 ， 架 
设 DHCP 


只 能 拿 来 练 练功 力 ， 事 实 上 ， 并 没有 多 大 的 效益 ; 


当 你 管理 的 网 域 当 中 ， 大 多 网 络 卡 都 属于 老 旧 的 型 号 ， 并 不 支持 
DHCP 的 协 


议 时 ; 
很 多 用 户 的 信息 知识 都 很 高 ， 那 么 也 没有 需要 架设 DHCP 啦 。 


如 前 所 述 ， 上 面 的 都 是 概念 性 的 说 法 ， 事 实 上 ， 一 件 事情 的 解决 之 道 是 
有 很 多 的 方 


案 的 ，“ 没有 所 谓 的 『 完 全 正确 」 的 方案 ， 只 有 『 相 对 可 行 、 并 且 符 合 
经 济 效益 与 功能 


的 方案 ! 所 以 哪 ， 架 设 任何 网 站 之 前 ， 请 先 多 评估 评估 响 ! 
12.2 DHCP 服务 器 端的 设 定 


事实 上 ， 目 前 市 面 上 的 IP 分享 器 已 经 便宜 到 爆 了 ! 而 IP 分 享 器 本 身 就 
含有 DHCP 


在 你 网 域内 的 计算 机 ， 有 很 多 机 器 其 实 是 做 为 主机 的 用 途 ， 很 少 用 户 














的 功能 。 所 以 如 果 你 只 是 想 要 单纯 的 使 用 DHCP 在 你 的 局 域 网 络 当中 
而 已 ， 那 么 建议 


你 直接 购买 一 部 IP 分 享 器 来 使 用 即 可 ， 因为 至 少 它 很 省 电 。 如 果 你 还 
有 其 他 考虑 的 


才 来 架设 DHCP 吧 ! 底下 我 们 以 一 个 简单 的 范例 来 架设 DHCP 
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D 
SN 
和 Sy 
fi ~ 
(N) 问 电导 
< 一 1 
必 


12.2.1 所 需 软 件 与 档案 结构 

DHCP 的 软件 需求 很 简单 ， 就 是 只 要 服务 器 端 软 件 即 可 ， 在 CentOS 6.x 
上 面 ; 这 

个 软件 的 名 称 就 是 dhcp 哆 ! 如 果 是 默认 安装 ， 那 么 这 个 软件 是 不 会 安 
装 的 ， 请 自行 使 


用 yum 去 装 好 这 个 软件 吧 ! 安装 完毕 之 后 ， 你 可 以 使 用 『 rpm -ql dhcp 
」 来 看 看 这 


个 软件 提供 了 哪些 档案 ， 基 本 上 ， 比 较 重 要 的 档案 数据 如 下 : 
/etc/dhcp/dhcpd.conf 


ee dhcp 服务 器 的 主要 配置 文件 咯 ! 在 某 些 Linux 版 本 上 头 这 个 
妆 且 可 








能 不 存在 ， 所 以 如 果 你 确定 有 安装 dhcp 软件 却 找 不 到 这 个 档案 时 ， 请 
手动 目 行 


建立 它 即 可 。 

Tips: 

其 实 dhcp 软件 在 释 出 的 时 候 都 会 附 上 一 个 范例 档案 ， 你 可 以 使 用 
『 rpm -ql dhcp 」 来 查询 到 dhcpd.conf.sample 这 个 范例 档案 ， 
然后 将 该 档案 复制 成 为 /etc/dhcp/dhcpd.conf 后 ， 再 手动 去 修改 
即 可 ， 这 样 设 定 比 较 容易 啦 ! 

/usr/sbin/dhcpd 


启动 整个 dhcp daemon 的 执行 档 啊 ! 其 实 最 详细 的 执行 方式 应 该 要 使 用 
[ man 


dhcpd 」 来 查阅 一 番 的 呢 ! 人 人 
/var/lib/dhcp/dhcpd.leases 


这 档案 颇 有 趣 的 ! 我 们 前 面 原理 部 分 不 是 有 提 到 『 租 约 」 吗 ? DHCP 服 
务 器 端 与 


客户 端 租 约 建立 的 局 始 与 到 期 日 承 是 记录 在 这 个 档案 当中 的 咯 ! 
就 跟 你 说 很 简单 吧 ! 整个 软件 数据 也 不 过 才 如 此 而 已 呢 ! 
12.2.2 主要 配置 文件 /etc/dhcp/dhcpd.conf 的 语法 


在 CentOS 5.x 以 前 ， 这 个 档案 都 被 放置 到 /etc/dhcpd.conf 的 ， 新 版 的 才 
放置 


于 此 处 。 其 实 DHCP 的 设 定 很 简单 啊 ， 只 要 将 dhcpd.conf 设 定 好 就 可 以 
局 动 了 。 不 过 

















编辑 这 个 档案 时 你 必须 要 留意 底下 的 规范 : 
[ # 」 为 批注 符号 ; 


I 号 ")" 后 面 之 外 ， 其 他 的 每 一 行 设 定 最 后 都 要 以 『 ; 」 做 为 
1 


重要 
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设 定 项 目 语法 主要 为 : 『 < 参数 代号 > < 设 定 内 容 > 」】， 例 如 ; 
default-lease-time 259200; 


某 些 设 定 项 目 必须 以 option 来 设 定 ， 基 本 方式 为 『 option < 参数 代码 


> < 
设 定 内 容 > 」 例 如: 
option domain-name "your.domain.name' ; 


基本 上 ， 我 们 刚刚 前 面 提 过 说 ， DHCP 的 IP 分 配 可 分 为 给 予 动 态 IP 与 
固定 卫 ， 


其 中 又 需要 了 解 的 是 ， 如 果 需 要 设 定 固定 IP 的 话 ， 那 么 就 必须 要 知道 
要 设 定 成 固定 


人 
尔 交口 ] 


的 MAC 吧 ! 好 了 ， 那 么 需要 设 定 的 项 目 有 哪些 呢 ? 其 实 dhcpd.conf 里 
头 的 设 定 主要 


分 为 两 大 项 目 ， 一 个 是 服务 器 运作 的 整体 设 定 (Global 一 个 是 IP 设 定 
模式 (动态 或 


固定 )， 每 个 项 目的 设 定 值 大 构 有 后 下 这 几 项 : 





整体 设 定 (Global) 


假设 你 的 dhcpd 只 管理 一 个 区 段 的 区 网 ， 那 么 除了 IP 之 外 的 许多 网 络 
参数 就 可 


以 放 在 整体 设 定 的 区 域 中 ， 这 包括 有 租约 期 限 、DNS 主机 的 IP 地 址 、 
路 由 器 的 IP 地 


址 还 有 动态 DNS (DDNS) 更 新 的 类 型 等 等 。 当 固定 IP 及 动态 IP 内 没有 
规范 到 某 些 设 


定时 ， 则 以 整体 设 定 值 为 准 。 这 些 参数 的 设 定名 称 为 : 











default-lease-time 时 间 


用 户 的 计算 机 也 能 够 要 求 一 段 特 定 长 度 的 租约 时 间 ， 但 知 使 用 者 没有 特 
别 要 求 租 


站 的 话 ， “那么 就 以 此 为 预 设 的 租约 时 间 。 后 面 的 时 间 参 数 默认 单 
立 为 秒 ; 


max-lease-time 时 间 : 


与 十 而 的 预 设 和 约 时 间 类 似 ， 不 过 ， 这 个 设 定 信 在 规范 使 用 者 所 能 要 
求 的 最 


租约 时 间 。 也 就 是 说 ， ”使 用 者 要 求 的 租约 时 间 硅 超过 此 设 定 值 ， 则 以 
此 值 为 准 ; 


option domain-name "领域 名 ": 
如 果 你 在 /etc/resolv.conf 里 面 设 定 了 一 个 『 search google.com 」 的 话 ， 


这 表示 当 你 要 搜寻 主机 名 时 ， DNS 系统 会 主动 帮 你 加 上 这 个 领域 名 的 
意思 。 





option domain-name-servers IP1, IP2: 


这 个 设 定 参 数 可 以 修改 客户 端的 /etc/resolv.conf 档案 ! 就 是 nameserver 
后 


面 接 的 那个 DNS IP 嘱 ! 特别 注意 设 定 参数 最 末尾 为 [servers| (有 s 
喔 ); 


ddns-update-style 类 型 : 


0 客户 端 所 取得 的 IP 通常 是 一 直 变 动 的 ， 所 以 某 部 主机 的 主 
几 名 上 


IP 的 对 应 就 很 难处 理 。 此 时 DHCP 可 以 透 过 ddns (请 参考 第 十 童 与 第 十 
九 曹 











来 更 新 主机 名 与 IP 的 对 应 。 不 过 我 们 这 里 不 谈 这 人 么 复杂 
和 东西 ， 


所 以 你 可 以 将 他 设 定 为 none 喔 。 


港 
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0 


ignore client-updates: 


0 客户 端 可 以 透 过 dhcpd 服务 器 来 更 新 DNS 相 
天 的 信息 。 


不 过 ， 这 里 我 们 也 先 不 谈 这 个 ， 因此 就 将 它 设 定 为 jgnore (忽略 ) 了 。 
option routers 路 由 器 的 地 址 : 
设 定 路 由 器 的 IP 所在， 记得 那个 『 routers 」 要 加 s 才 对 ! 





IP 设 定 模式 (动态 或 固定 ) 


由 于 dhcpd 主要 是 针对 局 域 网 络 来 给 予 IP 参数 的 ， 因 此 在 设 定 IP 之 


前 ， 我 们 
得 要 指定 一 个 区 网 才 行 。 指定 区 网 的 方式 使 用 如 下 的 参数 : 
subnet NETWORK _IP netmask NETMASK IP {...} 


我 们 知道 区 网 要 给 予 network / netmask IP 这 两 个 参数 才 行 ， 例 如 之 前 谈 
过 的 : 


192.168.100.0 / 255.255.255.0 这 样 的 设 定 值 。 上 头 设 定 值 当 中 ， subnet 


netmask 是 关键 词 ， 而 大 写 部 分 承 填 上 你 的 区 网 参数 跑 。 那 在 括号 内 还 
有 什么 参数 需要 


设 定 的 ? 那 束 是 到 的 卫 是 固定 的 还 是 动态 的 设 定 啊 : 
range IP1 IP2: 


在 这 个 区 网 当中 ， 给 予 一 个 连续 的 IP 群 用 来 发 放 成 动态 IP 的 设 定 ， 那 
个 IP1 


IP2 指 的 是 开放 的 IP 范围 。 举例 来 说 ， 你 想 要 开放 192.168.100.101 到 


192.168.100.200 这 100 个 IP 用 来 作为 动态 分 配 ， 那 就 是 : range 








192.168.100.101 192.168.100.200; 
host 主机 名 { ...}; 


这 个 host 就 是 指定 固定 IP 对 应 到 固定 MAC 的 设 定 值 ， 那 个 主机 名 可 
以 自己 


想 想 再 给 予 即 可 。 不 过 在 大 括号 内 就 得 要 指定 MAC 与 固定 的 IP 哆 ! 
那 这 两 个 


设 定 值 怎么 设 定 呢 ? 看 看 底下 跑 : 
0 hardware ethernet 人 硬件 地 址 : 











网 络 卡 上 面 的 固定 硬件 地 址 来 设 定 ， 亦 即 该 设 定 仅 针对 这 个 人 硬件 地 


有 效 的 意思 ; 
o fixed-address IP 地址 : 
给 予 一 个 固定 的 IP 地 址 的 意思 。 


说 再 多 也 没有 什么 用 啦 ! 让 我 们 实际 来 玩 一 个 案例 吧 ! 你 就 知道 该 如 何 
处 理 了 。 


12.2.3 一 个 局 域 网 络 的 DHCP 服务 器 设 定案 例 
net.qiang(Ohotmail.com 


中 ，Linux 主机 除了 NAT 服务 器 之 外 还 得 要 负责 其 他 服 
髓 ， 例 


如 邮件 服务 器 的 文 持 。 而 在 后 端 局 域 网 络 中 则 想 要 提供 DHCP 的 服 
务 。 整 个 硬件 配置 





由 六 区 网 (centos.vbird 网 


次 J 年 
呈 刘 注 


意 的 是 ， 在 图 中 Linux Router 有 两 块 接口 ， 其 中 ethl 对 内 而 eth0 对 
外 ， 至 于 其 他 


的 网 络 参数 设计 为 : 

Linux 主机 对 内 的 ethl 的 IP 设 定 为 192.168.100.254 这 

内 部 网 段 设 定 为 192.168.100.0/24 这 一 段 ， 且 内 部 计算 机 的 router 为 
192.168.100.254 ， 此 外 DNS 主机 的 卫 为 中 华电 信 的 168.95.1.1 及 
Seednet 的 139.175.10.20 这 两 个 ; 


我 想 要 让 每 个 使 用 者 预 设 租约 为 3 天 ， 最 长 为 6 天 ; 





只 想 要 分 配 的 了 只 有 192.168.100.101 到 192.168.100.200 这 几 人 个， 其 
他 的 IP 则 保留 下 来 ; 


我 还 有 一 部 主机 ， 他 的 MAC 是 『 08:00:27:11:EB:C2 」， 我 要 给 他 的 
主机 


名 为 win7 ， 且 IP 为 192.168.100.30 这 个 (请 对 照 图 3.2-1 喔 ! )。 
那 我 的 配置 文件 就 会 像 底 下 这 个 样子 了 : 

[root@www ~]# vim /etc/dhcp/dhcpd.conf 

#1. 整体 的 环境 设 定 

ddns-update-style none; <== 不 要 更 新 DDNS 的 设 

定 

ignore client-updates; <== 忽 略 客 户 端 的 DNS 

更 新 功能 

default-lease-time 259200; <== 预 设 租约 为 3 天 

max-lease-time 518400; <== 最 大 租约 为 6 天 

option routers 192.168.100.254; <== 这 就 是 预 设 路 由 

option domain-name "centos.vbird"; <== 给 予 一 个 领域 名 

option domain-name-servers 168.95.1.1, 139.175.10.20; 

# 上 面 是 DNS 的 IP 设 定 ， 这 个 设 定 值 会 修改 客户 病 的 /etc/resolv.conf 
档案 内 容 

# 2. 关于 动态 分 配 的 IP 


subnet 192.168.100.0 netmask 255.255.255.0 { 


range 192.168.100.101 192.168.100.200; <== 分 配 的 卫 范围 
# 3. 关于 国定 的 IP 啊 ! 

host win7 { 

hardware ethernet 08:00:27:11:EB:C2; <== 客 户 端 网 卡 MAC 
fixed-address 192.168.100.30; <== 给 予 固 定 的 IP 

} 

} 


# 相关 的 设 定 参 数 意 义 ， 请 查询 前 一 小 节 的 介绍 ， 或 者 man dhcpd.conf 
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0 


够 简单 吧 ! 这 样 就 设 定好 了 ! 你 可 以 复制 上 头 的 数据 然后 修改 一 下 ， 让 
里 头 的 卫 参数 


符合 你 的 环境 ， 就 能 够 设 定 好 你 的 DHCP 服务 器 了 。 接 下 来 理论 上 你 
就 能 够 启动 dhcp 


了 。 不 过 ， 在 某 些 早期 的 Linux distribution 上 面 ， 当 你 的 Linux 主机 具 
有 多 个 接 


口 时 ， 你 的 一 个 设 定 可 能 会 让 多 个 接口 同时 来 监听 ， 那 就 可 能 会 发 生 错 
误 了 了 。 


举例 来 说 ， 我 们 现在 的 设 定 是 192.168.100.0/24 这 个 在 eth1 上 头 的 网 
域 ， 假 设 


你 还 有 一 个 界面 eth2 在 192.168.2.0/24 好 了 ， 那 万 一 你 的 DHCP 同时 监 
听 两 块 接 


口 的 话 ， 想 一 想 ， 如 果 192.168.2.0/24 网 域 的 客户 端 发 送出 dhcp 封包 的 





有 要求 时 ， 他 


会 取得 什么 卫 ? 当然 是 192.168.100.X ! 所 以 哩 ， 我 们 就 得 要 针对 
dhcpd 这 个 执行 


文件 设 定 他 监听 的 接口 ， 而 不 是 针对 所 有 的 接口 都 监听 啊 ! 你 说 是 
吧 ! 入! 那 如 何 处 


理 呢 ? 在 CentOS (Red Hat 系统 ) 可 以 这 样 做 : 





[root@www ~]# vim /etc/sysconfig/dhcpd 
DHCPDARGS="ethO" 


不 过 这 个 动作 在 CentOS 5.x 以 后 的 版 本 上 面 已 经 不 需要 了 ， 因 为 新 版 本 
的 dhcp 会 主 


动 的 分 析 服 务 器 的 网 段 与 实际 的 ”dhcpd.conf 设 定 ， 如果 两 者 无 法 吻 
合 ， 束 会 有 错误 


提示 ， 人 性 化 多 了 。 人 人! 接 下 来 我 们 可 以 开始 启动 dhcp 试看 看 鹃 ! 
12.2.4 DHCP 服务 器 的 局 动 与 观察 
开始 来 启动 dhcp 吧 ! 在 启动 前 你 得 要 注意 几 件 事情 喔 : 

你 的 Linux 服务 器 网 络 环境 已 经 设 定好 ， 例 如 ethl 已 经 是 
192.168.100.254; 

你 的 防火 墙 规则 已 经 处 理 好 ， 例 如 : (1) 放 行内 部 区 网 的 联机 、 
(2)iptables.rule 的 NAT 服务 已 经 设 定 妥 当 ; 


另外 你 要 注意 的 是 : dhcpd 使 用 的 塌 口 是 port 67 ， 并 且 局 动 的 结果 会 记 
录 在 


/Var/log/messages 档案 内 ， 你 最 好 能 去 观察 一 下 /var/log/messages 所 显示 
的 














dhcpd 相关 信息 才 好 。 
#1. 启动 后 观察 一 下 塌 口 的 变化 : 





[root@www ~|]# /etc/init.d/dhcpd start 

[root@www ~]# chkconfig dhcpd on 

[root@www ~]# netstat -tlunp | grep dhcp 

Active Internet connections (only servers) 

Proto Recv-Q Send-Q Local Address Foreign Address PID/Program name 
udp 0 0 0.0.0.0:67 0.0.0.0:* 1581/dhcpd 
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# 2. 固定 去 看 看 登录 文件 的 输出 信息 





[root@www ~]# tail -n 30 /var/log/messages 

Jul 27 01:51:24 www dhcpd: Internet Systems Consortium DHCP Server 
4.1.1-P1 

Jul 27 01:51:24 www dhcpd: Copyright 2004-2010 Internet Systems 
Consortium. 

Jul 27 01:51:24 www dhcpd: All rights reserved. 

Jul 27 01:51:24 www dhcpd: For info, please visit 
https://www.isc.org/software/dhcpy/ 

Jul 27 01:51:24 www dhcpd: WARNING: Host declarations are global. They 


are not 


limited to the scope you declared them in. 

Jul 27 01:51:24 www dhcpd: Not searching LDAP since ldap-server, 
ldap-port and 

ldap-base-dn were not specified in the config file 

Jul 27 01:51:24 www dhcpd: Wrote 0 deleted host decls to leases file. 
Jul 27 01:51:24 www dhcpd: Wrote 0 new dynamic host decls to leases file. 
Jul 27 01:51:24 www dhcpd: Wrote 0 leases to leases file. 

Jul 27 01:51:24 www dhcpd: Listening on 
LPF/eth1/08:00:27:2a:30:14/192.168.100.0/24 

Jul 27 01:51:24 www dhcpd: Sending on 
LPF/eth1/08:00:27:2a:30:14/192.168.100.0/24 

…( 以 下 省 略 )..… 


看 到 这 些 资料 就 是 成 功 的 象征 啦 ! 尤其 是 上 述 有 特殊 字体 的 部 分 。 茶 喜 
你 啊 ! 真是 『 福 


气 啦 ! 」 不 过 ， 万 一 你 看 到 的 登录 档 是 类 似 底下 的 模样 呢 ? 

Jul 27 01:56:30 www dhcpd: /etc/dhcp/dhcpd.conf line 7: unknown option 
dhcp.domain-name-server 

Jul 27 01:56:30 www dhcpd: option domain-name-server#011168. 

Jul 27 01:56:30 www dhcpd: ^ 

Jul 27 01:56:30 www dhcpd: /etc/dhcp/dhcpd.conf line 9: Expecting 


netmask 


Jul 27 01:56:30 www dhcpd: subnet 192.168.100.0 network 

Jul 27 01:56:30 www dhcpd: ^ 

Jul 27 01:56:30 www dhcpd: Configuration file errors encountered -- 
exiting 


上 述 的 数据 表示 在 第 7, 9 行 丽 怕 有 点 设 定 错误 ， 设 定 错误 的 地 方 在 行 号 
底下 还 有 指数 


符号 (人 ^) 特别 标注 出 来 ! 由 上 面 的 情况 来 看 ， 第 7 行 的 地 方 应 该 是 


domain-name-servers 访 了 加 ss 了， 而 第 9 行 则 是 参数 下 错 ， 应 该 是 
netmask 而 非 





network ! 这 样 了 解 乎 ? 
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各 
12.2.5 内 部 主机 的 卫 对 应 





/etc/hosts 


第 四 童 4.4.1) 会 影响 内 部 计算 机 在 联机 阶段 的 等 待 时 间 吧 ? 那么 我 现在 
使 用 DHCP 


之 后 ， 糟 糕 ! 我 怎么 知道 哪 一 部 ”PC 连 上 我 的 主机 ， 那 要 怎么 填写 
/etc/hosts 的 内 容 


呢 ? 这 真是 太 简 单 了 ! 就 将 所 有 可 能 的 计算 机 IP 都 加 进去 该 档案 呀 ! 


太太 1 以 轧 哥 


为 例 ， 在 这 个 例子 中 ， 鸟 哥 的 分 配 的 了 卫 至 少 有 192.168.100.30， 
192.168.100.101 ~ 


192.168.100.200 ， 所 以 /etc/hosts 可 以 写成 : 
[root@www ~]# vim /etc/hosts 

127.0.0.1 localhost.localdomain localhost 
192.168.100.254 vbird-server 

192.168.100.30 win7 

192.168.100.101 dynamic-101 
192.168.100.102 dynamic-102 

.…( 中 间 省 略 )…. 

192.168.100.200 dynamic-200 


这 样 一 来 ， 所 有 可 能 连 进来 的 IP 都 已 经 有 纪录 了 ， 哈 哈 ! 当然 没有 什 
么 大 问题 跑 ! 和信 ! 


不 过 ， 更 好 的 解决 方案 则 是 架设 内 部 的 DNS 服务 器 ， 这 样 一 来 ， 内 部 
的 其 他 Linux 服 


务 右 也 不 必 更 改 /etc/hosts 就 能 够 取得 每 部 主机 的 IP 与 主机 名 对 应 ， 那 
样 惑 更 加 芯 


当 啦 ! 
12.3 DHCP 客户 端的 设 定 


DHCP 的 客户 端 可 以 是 Windows 也 可 以 是 Linux 呢 ! 乌 哥 的 网 域内 使 用 
三 部 计算 


机 ， 就 如 图 3.2-1 所 示 的 那样 。 Linux 与 Windows XP 的 设 定 方式 已 经 
分 别 在 第 四 章 











与 第 三 章 谈 过 了 ， 展 下 就 稍微 介绍 过 而 已 。 至 于 图 示 的 部 分 ，“ 我 们 主 


要 是 以 Windows 7 
来 做 介绍 呢 。 
12.3.1 客户 端 是 Linux 


Linux 的 网 络 参 数 设 定 还 记得 吧 ? 不 记得 的 话 就 得 要 打 屁 股 了 ! 在 第 四 
全 全 02 


我 们 谈 过 目 动 取得 IP 的 方式 ， 设 定 真 的 很 简单 : 
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[root@clientlinux ~]# vim /etc/sysconfig/network-scripts/ifcfg-ethO0 
DEVICE=eth0 

NM_CONTROLLED=no 

ONBOOT=yes 

BOOTPROTO=dhcp <== 就 是 他 ! 指定 这 一 个 就 对 了 ! 
[root@clientlinux ~]# /etc/init.d/network restart 


同时 记得 要 拿 掉 预 设 路 由 的 设 定 喔 ! 改 完 之 后 ， 就 将 我 们 的 整个 网 络 重 
新 局 动 即 可 (不 


要 使 用 ifdown 与 ifup ， 因 为 还 有 预 设 路 由 要 设 定 ! )。 请 注意 ， 如 果 你 
是 在 远程 进 


行 这 个 动作 ，” 你 的 联机 和 肯定 会 挂 挤 ! 」 ， 因 为 网 络 卡 被 你 关 了 啊 ! 
呵呵 ! 所 以 请 在 


本 机 前 面 才 进行 喔 ! 如 果 执 行 的 结果 有 找到 正确 的 DHCP 主机 ， 那 么 几 


个 档案 可 能 会 被 


更 动 喔 : 














#1. DNS 的 卫 会 被 更 动 呢 ! 查阅 一 下 resolv.conf 先 : 
[root@clientlinux ~]# cat /etc/resolv.conf 

search centos.vbird <== 还 记得 设 定 过 domain-name 否 ? 

domain centos.vbird <== 还 记得 设 定 过 domain-name 否 ? 
nameserver 168.95.1.1 <== 这 就 是 我 们 在 dhcpd.conf 内 的 设 定 值 
nameserver 139.175.10.20 

# 2. 观察 一 下 路 由 啦 ! 

[root(Oclientlinux ~]# route -n 

Kernel IP routing table 

Destination Gateway Genmask Flags Metric Ref Use 

Iface 

192.168.100.0 0.0.0.0 255.255.255.0U000 

eth0 

0.0.0.0 192.168.100.254 0.0.0.0 UG 0 00 

eth0 

# 咖 ! 没 错 ! 路 由 也 被 正确 的 捉 到 了 ! OK 的 啦 ! 

# 3. 察看 一 下 客户 端的 指令 吧 ! 

[root@clientlinux ~]# netstat -tlunp | grep dhc 

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program 


Namne 


udp 0 0 0.0.0.0:68 0.0.0.0:* 

1694/dhclient 

# 你 没 看 错 ! 确实 是 有 个 小 程序 在 监测 DHCP 的 联机 状态 响 ! 
#4. 看 一 看 客户 端 租约 所 记载 的 信息 吧 ! 

[rootOcjlientlinux ~]# cat /var/lib/dhclient/dhclient* 

lease { 
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interface "ethO"; 

fixed-address 192.168.100.101; <== 取 得 的 耳 哆 ! 
option Subnet-mask 255.255.255.0; 

option routers 192.168.100.254; 

option dhcp-lease-time 259200; 

option dhcp-message-type 5; 

option domain-name-servers 168.95.1.1,139.175.10.20; 
option dhcp-server-identifier 192.168.100.254; 

option domain-name "centos.vbird"; 


renew 4 2011/07/28 05:01:24; <== 下 一 次 预计 更 新 (renew) 的 时 间 点 


rebind 5 2011/07/29 09:06:36; 

expire 5 2011/07/29 18:06:36; 

} 

# 这 个 档案 会 记录 该 适 配 卡 所 曾经 要 求 过 的 DHCP 信息 喔 ! 重要 ! 

# 有 没有 看 出 来 ， 他 几乎 就 与 你 设 定 的 /etc/dhcp/dhcpd.conf 类 似 ? 人 信人 
有 没有 发 现 其 实 你 的 客户 器 取得 的 数据 都 被 记载 在 


/var/lib/dhclient/dhclient*-eth0.leases 里 头 啊 ? 如 果 你 有 多 张 网 卡 ， 那 么 
每 张 


网 卡 目 己 的 DHCP 要 求 就 会 被 写 入 到 不 同 档 名 的 档案 当中 去 ! 观察 该 
档案 就 知道 你 的 


数据 是 如 何 哆 ! 这 可 也 是 挺 重要 的 哟 ! 














Tips: 
你 或 许 会 问 说 ， dhcp 不 是 都 会 随机 取得 IP 吗 ? 那 为 什么 这 部 客 
户 端 clientlinux.centos.vbird 每 次 都 能 够 取得 相同 的 固定 IP 

呢 ? 很 简单 ， 因 为 上 头 的 dhclient-eth0.leases 里 面 的 
fixed-address 指定 了 想 要 固定 IP 的 选项 。 如 果 DHCP 服务 器 的 
该 卫 没有 被 用 走 ， 也 在 规定 的 range 设 定 值 内 ， 那 就 会 发 放 给 你 
这 个 TP 了。 如 果 你 想 要 不 同 的 IP 呢 ? 那 就 将 你 想 要 的 IP 取代 
上 述 的 设 定 值 啦 ! 

例题 : 


在 文献 中 谈 到 ， 如 果 区 网 内 有 多 个 DHCP 服务 器 (假设 有 DHCP1， 


DHCP2)， 


那么 每 次 客户 端 对 整个 物理 网 络 区 段 广 播 时 ，DHCP 服务 器 将 是 先 抢先 
赢 的 局 
面 。 但 是 车 第 一 次 取得 DHCP1 服务 器 的 IP 后 ， 未 来 重新 启动 网 络 ， 都 


2 


取得 DHCP1 的 网 络 参 数 ， 这 是 为 什么 ? 


多 


ET。 





Y 


看 到 上 述 的 dhclient-eth0.leases 客户 端 档案 了 吗 ? 因为 你 的 主机 想 


要 取得 上 次 取得 的 网 络 参数 ， 因 此 将 会 对 DHCP1 要 求 网 络 参 数 。 如 果 
你 想 要 


使 用 先 抢 先 赢 的 方式 来 取得 IP ， 或 者 想 要 使 用 DHCP2 来 取得 IP ， 那 


么 得 








要 修订 或 者 删除 dhclient-eth0.leases 才 行 。 
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一 般 


连 首 
IPv4 连 线 能 力 : 出 际 网 路 
IPw6 连 线 能 力 : 然 狗 路 存 取 
媒体 状 蓝 : 已 通用 
连 线 时 间 : 00:56:37 

1.0 Gbps 








二 送 一 般 已 kk 到 


位 元 组 : 456,729 | 25,899,248 


国内 容 『) | | 加 停 用 中) 














12.3.2 客户 端 是 Windows 





在 Windows 底下 设 定 DHCP 协议 以 取得 IP 实在 是 很 简单 喔 ! 例如 ， 你 
可 以 到 第 


三 草 的 .3.2.2 小 节 去 瞧 瞧 如 何 设 定 的 揪 取 图 示 。 我 们 这 里 以 Windows 7 
作为 介绍 好 


了 。 你 可 以 依据 『 开 始 」--> 『 控 制 面 板 」--> 【检视 网络 状态 及 工作 」 - 
-> 变更 适 配 


卡 设 定 」】， 在 出 现 的 图 示 中 ， 选 择 属 于 你 的 相关 网 卡 ， 然 后 连 击 两 下 之 
后 ， 就 开始 奔 下 


的 设 定 程序 : 
1. 如 上 所 述 ， 点 击 网 络 卡 设 定 后 ， 会 出 现 如 下 图 示 : 
图 12.3-1、 局 域 网 络 的 Windows 7 系统 设 定 DHCP 的 方式 





12.3-1 的 地 方 按 下 箭头 所 指 的 『 内 容 」 处 ， 就 会 出 现 如 下 画面 
吃 : 
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潭 路 功能 








连 线 方式 
EIntel(R) PRO/ONN MT Desktop Adapter 


这 个 右 线 使 用 下 列 项 目 (O): 

四 oO Client for Microsott Networks 

加 加 Qos 封包 排 程 器 

加 File and Printer Sharing for Microsoft Networks 

IM| - 测 际 潭 路 通讯 坊 定 第 5 版 :TCPIIPv6) 

MM 湘 际 狗 咯 表 讯 协定 第 4RR (TCPIPY4) 
YV) 二 Link-Layer 人 pology Discovery Mapper IO Driver 
网 2 Link-Layer lopoloey Discovery Responder 






















解除 安装 人 J) 







描述 


传 翰 控 制 通 讯 坊 定 崎 院 渔 莉 朋 讯 坊 定 ‘(TCP/IP) 。 这 是 预 
ee 提供 不 同 润 路 之 间 的 通讯 能 











图 12.3-2、 局 域 网 络 的 Windows 7 系统 设 定 DHCP 的 方式 


jr 先 点 选 TCP/IP4 第 四 版 卫 协议 ， 然 后 按 下 『 内 
容 


束 可 以 开始 来 修改 网 络 参数 跑 ! 


3. 接 下 来 如 下 图 所 示 ， 你 只 要 勾 选 『 自 动 取 得 IP 地 址 上 那个 项 目 ， 然 
后 按 下 


、 并 离开 设 定 画面 ， 如 此 一 来 Windows 就 会 开始 自动 取得 IP 的 
工作 了 。 
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一 般 | 其 他 设 定 


如 果 您 的 网 路 支援 谊 项 功能 ， 您 可 以 取得 昌吉 指 硕 的 IP 设 定 * 否 
则 ' 您 妖 顷 询问 尊 咯 条 滨 管 理 愉 正 确 的 卫 议 定 * 


回 自动 取得 If 位 址 0) 
向 使 用 下 列 的 IP ES 


回 自 吉 取 得 DNS 伺服 器 位 址 旧 ) 
全 使 用 下 列 的 DNS 伺服 器 位 址 {E): 
惯用 DNS 伺服 器 色 ) 








其 他 DNS 伺服 器 总 








结束 时 确 当 设 定 () 
可 








图 12.3-3、 局 域 网 络 的 Windows 7 系统 设 定 DHCP 的 方式 
4. 那 你 如 何 确认 你 的 “PP 已 经 被 顺利 的 取得 呢 ? 如 果 是 在 早期 的 


Windows 


95 ， 你 可 以 使 用 一 个 名 为 『 winipcfg 」 来 观察 你 的 IP 设 定 。 不 过 在 


windows 


你 可 能 需要 使 用 命令 提示 字符 来 观察 才 行 。 你 可 以 使 用 : 


[所 有 程序 」】--> 【附属 应 用 程序 】--> 『 命 令 提 示 字 符 】 来 取出 终端 
九 ， 然 


后 这 样 处 理 看 看 : 








C:AUSsers\win7> ipconfig /all 


.…( 前 面 省 略 ).…. 

以 太 网 络 卡 区 域 联机 : 

联机 特定 DNS 后 缀 . . ......:centos.vbird 

描述 ...............: Intel(R) PRO/1000 MT Desktop Adapter 
实体 地 址 .............:08-00-27-11-EB-C2 

DHCP 己 启 用 ...........: 是 

自动 设 定语 用 ,,;,,.,.,;.2 是 

链接 -本 机 IPv6 地 址 . . .....:fe80::ec92:b907:bc2a:a5fa%11( 偏 
好 选项 ) 

IPv4 地 址 ............:192.168.100.30( 偏 好 选项 ) <== 


这 是 取得 的 人 Pp 


子 网 掩 码 .. ..........:255.255.255.0 
租用 取得 .............:2011 年 7 月 27 日 上 午 11:59:18 
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D 
<== 这 是 租约 
租用 到 期 .............:2011 年 7 月 30 日 上 午 11:59:18 


预 设 网 关 .............:192.168.100.254 


DHCP 服务 器 ...........:192.168.100.254 <== 这 一 部 DHCP 
服务 器 

DNS 服务 器 ............:168.95.1.1 <== 取 得 的 DNS 
139.175.10.20 

NetBIOS over Tcpip ........: 启 用 

C:\Users\win7> ipconfig /renew 

# 这 样 可 以 立即 要 求 更 新 IP 信息 喔 ! 

这 样 束 OK 的 啦 ! 简单 吧 ! 

12.4 DHCP 服务 器 端 进 阶 观 察 与 使 用 


如 果 你 要 管理 的 是 几 十 部 甚至 是 几 百 部 的 计算 机 时 ， 你 总 是 希望 能 够 根 
据 座 位 来 进 


行 IP 的 给 予 吧 ? 因此 ， 固 定 IP 配合 MAC 束 显 的 很 重要 啦 ! 那么 如 何 
取得 每 部 主机 


的 IP 呢 ? 还 有 ， 你 怎么 查询 到 相关 的 租约 呢 ? 以 及 ， 如 果 你 还 想 要 进 
行 远程 开机 ， 帮 


使 用 者 在 固定 的 时 间 就 开机 呢 ? 那 就 来 看 看 底下 的 其 他 用 途 吧 ! 
12.4.1 检查 租约 档案 


客户 端 会 主动 的 纪录 租约 信息 ， 那 服务 器 端 更 不 能 忘记 记录 嘿 ! 服务 器 
端 是 记录 在 


这 个 地 方 : 








[root@www ~]# cat /var/lib/dhcpd/dhcpd.leases 


lease 192.168.100.101 { 


starts 2 2011/07/26 18:06:36; <== 租 约 开始 日 期 

ends 5 2011/07/29 18:06:36; <== 租 约 结束 日 期 

tstp 5 2011/07/29 18:06:36; 

cltt 2 2011/07/26 18:06:36; 

binding state active; 

next binding state free; 

hardware ethernet 08:00:27:34:4e:44; <== 客 户 端 网 卡 
} 
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从 这 个 档案 里 面 我 们 就 知道 有 多 少 客户 端 已 经 问 我 们 申请 了 DHCP 的 
IP 使 用 了 呢 ! 很 


容易 了 解 吧 ! 
12.4.2 让 大 量 PC 都 具有 固定 IP 的 脚本 


想 一 想 ， 如 果 你 有 一 百 台 计算 机 要 省 理 ， 每 部 计算 机 都 希望 是 固定 ”IP 
的 情况 下 ， 


那 你 要 如 何 处 置 ? 很 简单 ， 透 过 DHCP 的 fixed-address 就 行 啦 ! 但 
是 ， 这 一 百 台 计 

算 机 的 MAC 如 何 取得 ?你 要 怎么 改 啦 ? 难道 每 部 计算 机 都 去 抄写 ， 然 
后 再 回来 设 定 


dhcpd.conf 吗 ? 这 也 太 可 怕 了 吧 ? 既然 每 部 计算 机 最 终 都 得 要 开机 ， 那 
么 你 在 开机 之 





后 ， 利 用 手动 的 方法 来 设 定好 每 部 主机 的 IP 后 ， 在 根据 底下 的 脚本 来 
处 理 好 你 的 


dhcpd.conf 哆 ! 

[root@www ~]# vim setup_dhcpd.conf 

#!/bin/bash 

read -p "Do you finished the IP's settings in every client (y/n)? " yn 
read -p "How many PC's in this class (ex> 60)? " num 
if [ "$yn" = "y" J; then 

for site in $(seq 1 ${num}) 

do 

siteip="192.168.100.${site}" 

allip="$allip $siteip" 

ping -c 1 -w 1 $siteip > /dev/null 2>&1 

if [ "$7?" == "0" ]; then 

okip="$okip $siteip" 

else 

errorip="$errorip $siteip" 

echo "$siteip is DOWN" 

fi 

done 


[ -fdhcpd.conf ] && rm dhcpd.conf 


for site in $allip 

do 

pcname=pc$(echo $site | cut -d … -f 4) 
mac=$(arp -n | grep "$site " | awk '{print $3}") 
echo " host $pcname {" 

echo " hardware ethernet ${mac}:" 
echo " fixed-address ${site}:" 
echo"}" 

echo " host $pcname {" >> 
dhcpd.conf 

echo " hardware ethernet ${mac}:" >> 
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dhcpd.conf 

echo " fixed-address ${site}:" >> 
dhcpd.conf 

echo " }" >> 

dhcpd.conf 

done 


fi 


echo "You can use dhcpd.conf (this directory) to modified your 
/etc/dhcp/dhcpd.conf" 
echo "Finished." 


这 个 脚本 的 想法 很 简单 ， 如 果 你 管理 的 计算 机 都 是 Linux 的 话 ， 那 么 先 
开机 后 使 用 


『 ifconfig eth0 YOURIP 」 来 设 定 对 应 的 IP ， 在 鸟 哥 这 个 例子 中 ， 我 
使 用 的 是 


192.168.100.X/24 这 个 区 段 ， 此 时 IP 就 设 定好 了 ! 然后 在 透 过 上 面 的 脚 
本 跑 一 次 ， 


每 部 计算 机 的 MAC 与 IP 对 应 就 顺利 的 写 入 dhcpd.conf 吃 ! 然后 你 在 
将 它 贴 上 


/etc/dhcp/dhcpd.conf 即 可 ! 如 果 你 管理 的 计算 机 是 Windows 的 话 ， 那 
使 用 文字 接 
口 下 达 『 netsh interface ip set address xxx 」 之 类 的 指令 来 修订 嗓 ! 


12.4.3 使 用 ether-wake 实行 远程 自动 开机 (remote boot) 


既然 已 经 知道 客户 端的 MAC 地 址 了 ， 如 宁 客 户 端 的 主机 符合 一 些 电源 
标准 ， 并 且 


该 客户 端 主机 所 使 用 之 网 络 卡车 主 板 文 持 网 络 唤醒 的 功能 时 ， 我 们 就 可 
以 透 过 网 络 来 让 


客户 端 计算 机 开机 了 。 ”如 果 你 有 一 部 主机 想 要 让 他 可 以 透 过 网 络 来 局 
动 时 ， 你 必须 要 


在 这 部 客户 端 计算 机 上 进行 : 


1. 首先 你 得 要 在 BIOS 里 面 设 定 『 网 络 唤醒 」 的 功能 ， 人 否则 是 没有 用 的 
喔 ! 





2. 再 来 你 必须 要 让 这 部 主机 接 上 网 络 线 ， 并 且 电 源 也 是 接 通 的 。 
3. 将 这 部 主机 的 MAC 抄 下 来 ， 然 后 关机 等 等 网 络 唤 醒 。 


接 下 来 请 到 永远 开 着 的 主机 DHCP 服务 器 上 面 (其 实 只 要 任何 一 部 
Linux 主机 均 





可 ! ) ， 安 装 net-tools 这 个 软件 后 ， 束 会 取得 ether-wake 这 个 指令 ， 这 
就 是 网 络 


“0 那 该 如 何 使 用 这 个 指令 呢 ? 假 设 客户 端 主 机 的 ”MAC 
11:22:33:44:55:66 并 且 与 我 的 服务 器 ethl 相连 接 好 了 ， 那 么 你 想 要 让 这 
部 主机 被 唤 

醒 ， 就 这 样 做 吧 : 

[root@www ~]# ether-wake -i eth1 11:22:33:44:55:66 

# 更 多 功能 可 以 这 样 查 阅 喔 : 

[root@www ~]# ether-wake -u 
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然后 你 就 会 发 现 ， 哈 哈 ! 那 部 客户 端 主机 被 局 动 了 ! 以 后 如 果 你 要 连 到 
局 域 网 络 内 的 话 ， 


只 要 能 够 连 上 你 的 防火 墙 主 机 ， 然 后 透 过 这 个 ether-wake 软件 ， 就 能 够 
让 你 局 域 网 络 





内 的 主机 启动 了 ， 控 管 上 面 就 更 加 方便 的 啦 ! 你 说 是 吧 ! 和信 
Tips: 

鸟 哥 办 公 室 有 一 部 桌 机 是 经 常用 来 测试 的 机 器 ， 但 是 因为 比较 耗 电 ， 
因此 当 乌 哥 离 开办 公 室 时 ， 就 会 将 计算 机 关闭 。 不 过 鸟 哥 办 公 室 有 
一 部 NAT server 在 负责 防火 墙 的 第 一 道 关 卡 ， 当 乌 哥 在 家 里 有 需 
要 查询 到 学 校 桌 机 的 数据 时 ， 桌 机 关 了 怎 办 ? 没关系 ， 透 过 NAT 
server 登入 后 ， 使 用 ether-wake 唤醒 桌 机 ， 那 就 能 够 开机 进去 工 
作 鄂 ! 这 样 也 比较 不 怕 耗 电 问题 一 

12.4.4DHCP 与 DNS 的 关系 


我 们 知道 局 域 网 络 内 如 果 很 多 Linux 服务 器 时 ， 你 得 要 将 private IP 加 
入 到 每 


部 主机 的 /etc/hosts 里 面 ， 这 样 在 联机 阶段 的 等 等 时 间 才 不 会 有 傅 时 或 
者 是 等 待 太 


入 的 问题 。 问 题 是 ， 如 果 计 算 机 数量 太 大 ， 叉 有 很 多 测试 机 时 ， ”这 时 
你 得 要 和 凋 着 去 更 


新 维护 那些 重 灌 过 的 机 器 的 /etc/hosts ， 烦 不 烦 响 ? 


此 时 在 区 网 内 架设 一 部 DNS 服务 器 负责 主机 名 解析 就 很 重要 ! 因此 既 
然 已 经 有 


DNS 服务 器 帮忙 进行 主机 名 的 解析 ， 那 你 根本 不 需要 更 动 /etc/hosts ! 
未 来 的 新 机 器 


a 需要 改写 任何 网 络 参数 ， 这 样 维护 会 轻松 很 
因 上 出 


好 的 区 网 内 ， 理 论 上 ， 我 们 应 该 在 DHCP 服务 器 主机 上 面 在 安装 一 个 


























DNS 服务 器 ， 提 
供 内 部 计算 机 的 名 称 解 析 为 宜 。 


介绍 哆 。 











DHCP 啊 应 速度 与 有 网 管 switch 的 设 定 问题 


鸟 哥 在 昆山 信息 传播 系 (http:/www.dic.ksu.edu.tw) 负责 五 间 计 算 机 教室 
的 维 


护 ， 每 间 计 算 机 教室 内 部 的 giga switch 是 低 阶 的 有 网 管 功能 的 机 器 ! 有 
网 管 功 能 机 


器 的 设 定 信息 比较 多 ， switch 也 能 够 进行 封包 异常 的 侦 测 与 抵挡 。 问 题 
征 ， 如 宋 抵挡 


的 行为 『 太 超过 」 时 ， 也 可 能 造成 许多 问题 。 


号 可 同 吾 的 站 熏 仙 教室 在 生 新 月 动 网 络 取得 DHCP 时 ， 都 会 等 竺 几乎 达 
30 秒 ， 虽 


然 最 终 是 成 功 的 ， 但 是 等 这 么 久 呢 ! 取得 IP 之 后 ， 网 络 速度 却 久 是正 
第 的 ， 一 切 没 


问题 一 就 是 教导 网 络 参 数 设 定时 ， 学 生 都 会 哇哇 叫 ! 以 为 失败 了 ， 有 
的 等 了 将 近 一 分 


钟 才 告知 取得 IP 且 为 正常 ... 


后 来 问 了 有 经 验 的 计 中 的 多 组 长 ， 才 发 现 可 能 是 switch 的 问题 。 大 多 在 
设 定位 于 




















[L2 Features| --> 『Spanning Tree」--> 『STP Port Settings」 的 子 项 目 之 
类 的 字 


眼 ， 将 STP 之 类 的 塌 口 都 设 定 为 关闭 (Disabled) 看 看 ， 鸟 哥 做 完 这 个 设 
定 后 ，DHCP 


的 取得 就 顺畅 了 ! 连带 的 网 络 开 机 功能 也 惑 没有 问题 一 这 部 份 也 提供 给 
大 家 参考 鄙 ! 
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Tips: 
网 友 巩 立 伟 兄 来 信 谈 到 ，STP 主要 的 目的 是 在 抵挡 广播 风暴 ， 若 侦 
测 到 广播 风暴 时 ， 该 switch 的 塌 口 会 被 停 用 。 只 是 启动 这 个 功能 
后 ， 会 较 缓慢 的 进入 运作 状态 ， 所 以 会 产生 较 慢 的 情况 发 生 。 较 好 
的 switch 会 支持 RSTP (Rapid spanning tree protocol)， 速 度 
会 较 快 一 些 。 感 谢 朋 友 提 供 的 信息 喔 ! 和信 
12.5 重点 回顾 
DHCP (Dynamic Host Configuration Protocol) 可 以 提供 网 络 参数 给 客户 
端 计算 机 ， 使 其 自动 设 定 网 络 的 功能 ; 


透 过 DHCP 的 统一 管理 ， 在 同一 网 域 当中 就 比较 不 容易 出 现 IP 冲突 
的 情况 


2 


DHCP 可 以 透 过 MAC 的 比 对 来 提供 Static IP (或 称 为 固定 IP)， 人 否则 





通常 
提供 客户 端 dynamic IP (或 称 为 动态 IP); 


DHCP 除了 Static IP 与 Dynamic IP 之 外 ， 还 可 以 提供 租约 行为 之 设 
定 ; 


在 租约 期 限 到 期 之 前 ， 客 户 端 dhcp 软件 即 会 主动 的 要 求 更 新 ( 约 0.5， 
0.85 倍 租约 时 间 左 右 ); 


DHCP 可 以 提供 的 MAC 比 对 、Dynamic IP 的 卫 范围 以 及 租约 期 限 等 
4 


于 
都 在 dhcpd.conf 这 个 档案 当中 设 定 的 ; 


一 般 的 情况 之 下 ， 使 用 者 需要 自行 设 定 dhcpd.leases 这 个 档案 ,不 
过 ; 


正 的 租约 档案 记录 是 在 /var/lib/dhclient/dhclient-eth0.leases 里 面 ; 


如 果 只 是 要 单纯 的 DHCP 服务 ， 建 议 可 以 购买 类 似 IP 分 享 器 的 设备 
即 可 提 


供 稳 定 且 低 耗 电 的 网 络 服务 。 
DHCP 服务 与 DNS 服务 的 相关 性 很 高 ; 


在 DHCP 客户 端 取得 IP 的 速度 太 慢 ， 或 许可 以 找 一 下 有 网 管 switch 
的 


STP 设 定 值 。 
12.6 本 章 习 题 
DHCP 主要 的 两 种 IP 分 配 模式 为 何 ? 


主要 的 两 种 分 配 模式 分 别 为 Dynamic IP 与 Static IP ， Static IP 透 过 


的 比 对 ， 至 于 Dynamic IP 则 是 直接 取 用 网 域 中 尚未 被 使 用 到 的 IP 
来 进行 


Client 端的 分 配 。 


_ 在 有 DHCP 主机 存在 的 网 域 当中 ， 且 client 端 亦 使 用 DHCP 来 规划 客 
户 端 


的 网 络 参 数 ， 那 么 请 问 ， 在 该 网 域 当 中 ，Client 端 透 过 DHCP 取得 IP 
的 流程 


为 何 ? 


1. 首先 ， Client 端 会 发 出 一 个 DHCP 要 求 封 包 ; 
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2. server 端 接收 到 要 求 后 ， 会 主动 的 响应 信息 给 Client ; 
3. Client 徊 接受 该 DHCP 主机 所 提供 的 参数 ， 则 主机 会 记录 下 租约 信 
恩 ， 至 于 client 端 则 开始 以 主机 提供 的 参数 设 定 其 网 络 

DHCP 是 如 何 发 送 Static IP 的 ? 可 以 使 用 何 种 指令 取得 该 信息 ? 


DHCP 主要 利用 网 络 卡 的 硬件 地 址 ， 亦 即 俗称 的 『 网 络 卡 卡号 上 ， 也 就 
是 MAC 


来 进行 Client 端的 比 对 的 ， 至 于 主动 取得 Client 端的 方式 ， 可 以 透 过 
ping 


以 及 arp 来 获得 。 
在 DHCP 服务 器 的 租约 档 ， 亦 即 /var/lib/dhcpd/dhcpd.leases 当中 ， 记 
录 了 什么 信息 ? 











这 个 档案 主要 记录 了 Client 端 连 上 Server 端的 纪录 数据 ， 他 会 被 DHCP 
主机 用 来 判定 与 Client 端的 租约 行为 喔 ! 

DHCP 的 登录 档 放 置 于 何 处 ? 

了 驶 是 最 重要 的 /vavlog/messages 这 个 档案 啦 ( 预 设 状况 下 ! ) 
12.7 参考 数据 与 延伸 阅读 

注 1: 在 维基 百科 的 DHCP 相关 说 明 : 
http://zh.wikipedia.org/zh-tw/DHCP 
http://en.wikipedia.org/wiki/Dynamic Host Configuration_ Protocol 

其 他 可 供 查 阅 之 数据 : 


DHCP mini HOWTO: 英文 版 : http://tldp.orsg/HOWTO/DHCP/index.html 





DHCP mini HOWTO: 中 文 版 : 


http:/www.linux.org.tw/CLDP/Mini HOWTO/network/DHCP/ 


Internet Software consortium: http:/www.isc.org/software/dhcp 


Study Area: http://www.study-area.org/linux/servers/inux dhcp.htm 
Study Area 网 络 开 机 (我 本 善 展 兄 撰 写 ): 
http://www.study-area.org/tips/wol.htm 

2002/11/23: 第 一 次 完成 2003/03/15: 加 入 相关 重点 回顾 、 与 练习 题 
2003/09/10: 修改 版 面 去 ! 2006/12/05: 将 旧 的 文章 移动 到 此 处 


ether- 





2011/02/24: 将 基于 CentOS 4.x 的 旧 的 文章 移动 到 此 处 


2011/03/03: 加 入 了 DNS 的 相关 性 ， 有 网 管 的 STP 会 影响 DHCP 的 取 
得 等 数据 。 


2011/07/27: 将 基于 CentOS 5.x 的 版 本 移动 到 此 处 


2011/07/27: 主要 是 将 Windows 的 图 示 以 Windows 7 来 示意 吕 ! 
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最 近 更 新 日 期 : 2011/07/27 


NFS 为 Network FileSystem 的 简称 ， 它 的 目的 就 是 想 让 不 同 的 机 器 、 不 
同 的 操作 系统 可 以 彼此 分 享 个 


别 的 档案 啦 ! 目前 在 Unix Like 当中 用 来 做 为 文件 服务 器 是 相当 不 错 的 
一 个 方案 喔 ! 基本 上 ， Unix Like 


主机 连接 到 另 一 部 Unix Like 主机 来 分 享 彼 此 的 档案 时 ， 使 用 NFS 要 比 
SAMBA 这 个 服务 器 快速 日 方便 


的 多 了 ! 此 外 ， NFS 的 设 定 真 的 很 简单 ， 几 乎 只 要 记得 局 动 Remote 
Procedure Call 这 个 歇 略 (RPC, 惑 


是 rpcbind 这 个 软件 啦 ! ) 束 一 定 可 以 架设 的 起 来 ! 真是 不 错 啊 ! 如 果 
是 在 Linux PC cluster 的 环 


境 下 ， 这 个 服务 器 被 使 用 的 机 率 更 是 高 的 多 喔 ! 所 以 得 来 玩 一 玩 啊 ! 


13.1 NFS 的 由 来 与 其 功能 











13.1.1 什么 是 NFS ( Network FileSvstem 


13.1.2 什么 是 RPC ( Remote Procedure Call 


13.1.3 NFS 司 动 由 RPC daemons 
13.1.4 NES 的 档案 访 丫 
13.2 NFS Server 端的 设 定 


13.2.1 所 需要 的 软 


13.2.2 NFS 纺 结 杨 





13.2.3 /etc/exports 

13.2.4 司 动 NFS: rpcinfo 

13.2.5 NFS 的 联机 观察 :” showmount, /var/lib/nfs/etab, exportfs 
13.2.6 NFS 的 安全 性 : 防火墙 与 埋 口 , 关机 注意 事项 


13.3 NFS 客户 端的 设 定 








六 参 兆 





13.1 NFS 的 由 来 与 其 功能 


NFS ”这 个 厌 由 网 络 分 盏 文件 系统 的 服务 在 架设 的 时 候 是 很 简单 的 ， 不 
过 ， 它 最 大 的 


问题 在 于 『 权 限 」 方 面 的 概念 ! ”因为 在 客户 端 与 服务 器 端 可 能 必须 要 
具备 相同 的 账号 


才能 够 存 取 某 些 目录 或 档案 。 另外 ，NES 的 启动 需要 透 过 所 谓 的 远程 
过 程 调 用 (RPC)， 

也 就 是 说 ， 我 们 并 不 是 只 要 启动 NFS 就 好 了 ， 还 需要 启动 RPC 这 个 服 
务 才 行 啊 ! 
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NFS Server 
个 更 /homesharefile/ 有 目 锯 






NFS client 1 NFS client 2 
挂 H /home/sharefie; 措 束 jhome/sharefie; 
人 至” /home/data/sharefile; 至 yymnbnf'sharefiley 


因此 ， 在 开始 进行 NEFS 的 设 定 之 前 ， 我 们 得 先 来 了 解 一 下 ， 什 么 是 
NFS 呢 ? 不 然 


讲 了 一 堆 也 没有 用 ， 对 吧 ! 和 ^ 人 A! 底下 惑 来 谈 一 谈 什 么 是 NFS ,是 
NFS 的 启动 还 需 


要 什么 样 的 协议 啊 ! 


13.1.1 什么 是 NFS (Network FileSystem) 





NFS 束 是 Network FileSystem 的 缩写 ， 最 早 之 前 是 由 _Sun 这 家 公司 所 发 
展 出 来 


的 ( 注 1)。 它 最 大 的 功能 就 是 可 以 透 过 网 络 ， 让 不 同 的 机 器 、 不 同 的 操 
作 系统 、 可 以 


彼此 分 至 个 别 的 档案 (share files)。 所 以 ， 你 也 可 以 简单 的 将 他 看 做 是 一 
个 文件 服务 


器 (file server) 呢 ! 这 个 NFS 服务 器 可 以 让 你 的 PC 来 将 网 络 远程 的 
NFS 服务 器 


分 训 的 目录 ， 挂 载 到 本 地 端的 机 器 当中 ， ”在 本 地 端的 机 器 看 起 来 ， 那 
个 远程 主机 的 目 


录 吕 好 像 是 目 己 的 一 个 磁盘 分 区 槽 一 样 ”(partition)! 使 用 上 面相 当 的 便 
利 ! 








图 13.1-1、NFS 服务 嚣 分享 日 录 与 Client 挂 载 示 意图 
就 如 同上 面 的 图 示 一 般 ， 当 我 们 的 NFS 服务 器 设 定 好 了 分 享 出 来 的 


/home/sharefile 这 个 目录 后 ， 其 他 的 NFS 客户 端 束 可 以 将 这 个 目录 挂 载 
到 自己 系统 


上 面 的 某 个 挂 载 点 ( 挂 载 点 可 以 自 定 义 )， 例 如 前 面 图 示 中 的 NFS dlient 
1 与 NFS 


client 2 挂 载 的 目录 束 不 相同 。 我 只 要 在 NFS client 1 系统 中 进入 


/home/data/sharefile 内 ， 就 可 以 看 到 NFS 服务 器 系统 内 的 
/home/sharefile 目录 


下 的 所 有 数据 了 (当然 ， 权 限 要 足够 啊 ! ^ A)! 这 个 /home/data/sharefile 
就 好 像 NFS 


client 1 自己 机 器 里 面 的 一 个 partition 喔 ! 只 要 权限 对 了 ， 那 么 你 可 以 使 
用 cp, cd， 











mv, rm.… 等 等 磁盘 或 档案 相关 的 指令 ! 真是 他 X 的 方便 呐 ! 


好 的 ， 既 然 NFS 是 i 
的 socket 


pair 的 概念 你 会 知道 NFS 应 该 会 使 用 一 些 埋 口 吧 ? 那么 NFS 使 用 哪个 
塌 口 来 进行 传 

输 呢 ? 基本 上 NFS 这 个 服务 的 塌 口 开 在 2049 ， 但 是 由 于 文件 系统 非常 
复杂 ， 因 此 NFS 


还 有 其 他 的 程序 去 启动 额外 的 端口 口 ， 但 这 些 额 外 的 端口 口 启动 的 号 码 
是 ? 答案 是 … 
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RPC (port 111) 


1. 管理 本 机 的 port 对 歇 
2. 回报 用 户 负 相 出 埠 口 










和 统 的 各 项 指 
全 钢 程 序 









岗 port 对 败 
之 相关 件 后 |. 
向 主机 传送 


辟 吉 时 就 向 RPC 十 和 研 





NFS daemons 
1, 分 析 用 启 端 权限 


2. 存 取向 案 系 和 统 


NFS client 


NFS server 


不 知道 ! @_@ ! 因为 预 设 NFS 用 来 传输 的 坊 口 是 随机 选择 小 于 1024 
以 下 的 塌 口 来 使 


用 的 。 呈 ! 那 客 户 并 怎么 知道 你 服务 器 端 使 用 那个 塌 口 啊 ? 此 时 就 得 要 
远程 过 程 调 用 


(Remote Procedure Call, RPC) 的 协议 来 辅助 啦 ! 底下 我 们 就 来 谈 谈 什 么 
是 RPC? 


13.1.2 什么 是 RPC (Remote Procedure Call) 


因为 NFS 文 持 的 功能 相当 的 多 ， 而 不 同 的 功能 都 会 使 用 不 同 的 程序 来 
局 动 ， 每 局 


动 一 个 功能 就 会 月 用 一 些 端口 口 来 传输 数据 ， 因 此 ， NFS 的 功能 所 对 
应 的 端口 口才 没 


有 固定 住 ， 而 是 随机 取 用 一 些 未 被 使 用 的 小 于 1024 的 塌 口 来 作为 传输 
之 用 。 但 如 此 


一 来 叉 造成 客户 端 想 要 连 上 服务 器 时 的 困扰 ， ”因为 客户 端 得 要 知道 服 
务 需 端 的 相关 坦 


口才 能 够 联机 吧 ! 


此 时 我 们 就 得 需要 远程 过 程 调 用 (RPC) 的 服务 啦 ! RPC 最 主要 的 功能 就 
古 在 指定 


每 个 NFS 功能 所 对 应 的 port number ， 并 且 回 报 给 客户 端 ， 让 客户 端 可 
以 连结 到 正确 


的 塌 口 上 去 。 那 RPC 又 是 如 何 知 道 每 个 NFS 的 埋 口 呢 ? 这 是 因为 当 服 
务 句 在 局 动 


NFS 时 会 随机 取 用 数 个 塌 口 ， 并 主动 的 向 RPC 注册 ， 因 此 RPC 可 以 知 
道 每 个 端口 口 对 


应 的 NFS 功能 ， 然 后 RPC 又 是 固定 使 用 port 111 来 监听 客户 端的 需求 
并 回报 客户 站 


正确 的 塌 口 ， 所 以 当然 可 以 让 NFS 的 启动 更 为 轻松 愉快 了 ! 











Tips: 


所 以 你 要 注意 ， 要 启动 NFS 之 前 ，RPC 就 要 先 启动 了 ， 否 则 NFS 会 





无 法 向 RPC 注册 。 另外 ，RPC 若 重 新 启动 时 ， 原 本 注册 的 数据 会 
不 见 ， 因 此 RPC 重新 启动 后 ， 它 管理 的 所 有 服务 都 需要 重新 启动 来 
重新 问 RPC 注册 。 

图 13.1-2、NFS 与 RPC 服务 及 文件 系统 操作 的 相关 性 


如 上 图 所 示 ， 当 客户 端 有 NFS 档案 存 取 需 求 时 ， 他 会 如 何 向 服务 器 站 
要 求 数据 呢 ? 


1. 客户 端 会 向 服务 器 端的 RPC (port 111) 发 出 NFS 档案 存 取 功 能 的 询问 


要 
求 ; 
2. 服务 器 端 找到 对 应 的 已 注册 的 NFS daemon 塌 口 后 ， 会 回报 给 客户 


喘 
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必 
3. 客户 疹 了 解 正 确 的 埋 口 后 ， 束 可 以 直接 与 NFS daemon 来 联机 。 


由 于 NFS 的 各 项 功能 都 必须 要 向 RPC 来 注册 ， 如 此 一 来 RPC 才能 了 解 
NFS 这 个 


服务 的 各 项 功能 之 port number, PID, NFS 在 服务 器 所 监听 的 IP 等 等 ， 
而 客户 端 才 

能 够 透 过 RPC 的 询问 找到 正确 对 应 的 塌 口 。 也 就 是 说 ，NFS 必须 要 有 
RPC 存在 时 才 

能 成 功 的 提供 服务 ， 因 此 我 们 称 NFS 为 RPC server 的 一 种 。 事 实 上 ， 
有 很 多 这 样 的 


服务 器 都 是 同 RPC 注册 的 ， 举 例 来 说 ，NIS (Network Information 
Service) 也 是 RPC 


server 的 一 种 呢 。 此 外 ， 由 图 13.1-2 你 也 会 知道 ， 不 论 是 客户 端 还 是 服 
务 器 问 ， 要 


使 用 NFS 时 ， 两 者 都 需要 启动 RPC 才 行 喔 ! 
更 多 的 NFS 相关 协议 信息 你 可 以 参考 底下 网 页 : 
RFC 1094, NFS 协议 解释 http://www .faqs.org/rfcs/rfc1094.html 


Linux NFS-HOWTO: http:/www.tldp.org/HOWTO/NFS- 
HOWTIO/index.html 


13.1.3 NFS 启动 的 RPC daemons 


我 们 现在 知道 NFS 服务 占 在 局 动 的 时 候 就 得 要 癌 RPC 注册 ， 所 以 NFS 
服务 器 也 


被 称 为 RPC server 之 一 。 那么 NFS 服务 器 主要 的 任务 是 进行 文件 系统 
的 分 享 ， 文 件 


系统 的 分 享 则 与 权限 有 关 。 所 以 ”NFS 服务 喜 月 动 时 全 少 需 要 两 个 


daemons ， 一 个 管 


能 够 登入 的 问题 ， 一 个 管理 客户 端 能 够 取得 的 权限 。 如 
果 你 还 想 要 管理 


quota 的 话 ， 那 么 NFS 还 得 要 再 加 载 其 他 的 RPC 程序 就 是 了 。 我 们 以 较 
单纯 的 NFS 服 


务 册 来 说 : 








rpc.nfsd: 


最 主要 的 NFS 服务 器 服务 提供 商 。 这 个 daemon 主要 的 功能 就 是 在 管理 
客户 端 


否 能 够 使 用 服务 器 文件 系统 挂 载 信息 等 ， “其 中 还 包含 这 个 登入 者 的 
0 0 


别 虽 ! 
rpc.mountd 


这 个 daemon 主要 的 功能 ， 则 是 在 管理 NFS 的 文件 系统 哩 ! 当 客 户 痢 顺 
利 的 通 


过 rpc.nfsd 而 登入 服务 器 之 后 ， 在 他 可 以 使 用 NFS 服务 器 提供 的 档案 之 
前 ， 


还 会 经 过 档案 权限 (就 是 那个 -rwxrwxrwx 与 owner，group 那 几 个 权限 


的 认证 程序 ! 他 会 去 读 NFS 的 配置 文件 /etc/exports 来 比 对 客户 端的 权 
限 ， 


当 通 过 这 一 天 之 后 客户 站 就 可 以 取得 使 用 NFS 档案 的 权限 啦 ! ( 注 : 这 
个 也 是 我 


们 用 来 管理 NFS 分 享 之 目录 的 权限 与 安全 设 定 的 地 方 哩 ! ) 
rpc.lockd ( 非 必 要 ) 


这 个 玩意 儿 可 以 用 在 管理 档案 的 锁定 (lock) 用 途 。 为 何 档案 需要 『 锁 
定 」 呢 ? 


因为 既然 分 享 的 NFS 档案 可 以 让 客户 端 使 用 ， 那 么 当 多 个 客户 端 同 时 
尝试 写 入 


某 个 档案 时 ， 束 可 能 对 于 该 档案 造成 一 些 问 题 啦 ! 这 个 rpc.lockd 则 可 
以 用 来 
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0 









实际 答案 系统 
由 omeysharefile 


用 巨 句 

UID, GID 参照 
ietc/passwd 
‘ete/group 


Username: dmstsal 
UID: 501 





UID, GID 参照 
ietcipasswd 


ge ete/oro 
home/data’sharefile ‘ete/group 





NFS Client ] NFS Server 


克服 这 个 问题 。 但 rpc.lockd 必须 要 同时 在 客户 端 与 服务 器 端 都 开启 才 
行 喔 ! 


此 外 ， rpc.lockd 也 和 常 与 rpc.statd 同时 启用 。 
rpc.statd ( 非 必要 ) 


和 与 rpc.lockd 有 关 ! 若 发 生 因为 客户 端 同 
让 


加 -档案 和 成 档案 可 能 有 所 杭 肛 时 ， rpestatd 可 以 用 业 检 测 并 党 试 回复 
该 档 


rpc.lockd 同样 的 ， 这 个 功能 必须 要 在 服务 器 端 与 客户 并 部 局 动 
会 


效 。 


上 述 这 几 个 RPC 所 需要 的 程序 ， 其 实 痢 已 经 写 入 到 两 个 基本 的 服务 局 
动 脚本 中 了 ， 


那 束 是 nfs 以 及 nfslock 哆 ! 亦 即 是 在 /etc/init.d/nfs, /etc/init.d/nfslock,， 


与 服务 器 较 有 关 的 写 入 在 nfs 服务 中 ， 而 与 客户 端的 rpc.lockd 之 类 的 ， 
就 设 定 于 


nfslock 服务 中 。 
13.1.4 NFS 的 档案 访问 权限 








不 知道 你 有 没有 想 过 这 个 问题 ， 在 图 13.1-1 的 环境 下 ， 假 如 我 在 NFS 
client1 上 


面 以 dmtsai 这 个 使 用 者 身份 想 要 去 存 取 /home/data/sharefile/ 这 个 来 自 
NES 


server 所 提供 的 文件 系统 时 ， 请 问 NFS server 所 提供 的 文件 系统 会 让 我 
以 什么 身份 


去 存 取 ? 是 dmtsai 还 是 ? 


为 什么 会 这 么 问 呢 ? 这 是 因为 NFS 本 身 的 服务 并 没有 进行 身份 登入 的 
识别 ， 所 以 


说 ， 当 你 在 客户 端 以 dmtsai 的 吴 份 想 要 存 取 服 务 器 端的 文件 系统 时 ， 
服务 器 端 会 以 


客户 端的 使 用 者 UID 与 GID 等 身份 来 答 试 读 取 服 务 吉 器 的 文件 系统 。 
这 时 有 个 有 趣 的 


问题 就 产生 啦 ! ，” 那 就 是 如 果 客 户 端 与 服务 器 端的 使 用 者 身份 并 不 一 至 
怎么 办 ? 我 们 以 


底下 这 个 图 示 来 说 明 一 下 好 了 : 
图 13.1-3、NFS 的 服务 占 端 与 客户 端的 使 用 者 号 份 确认 机 制 
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当 我 以 dmtsai 这 个 一 般 身 份 使 用 者 要 去 存 取 来 自 服务 器 问 的 档案 时 ， 你 

要 先 注意 

2 “> inode 所 记录 的 属性 为 UID, GID 而 非 账号 与 群 组 
。 那 一 般 


Linux 主机 会 主动 的 以 自己 的 /etc/passwd, /etc/group 来 查询 对 应 的 使 用 
者 、 组 名 。 





所 以 当 dmtsai 进入 到 该 目录 后 ， 会 参照 NFS client 1 的 使 用 者 与 组 名 。 
但 是 由 于 


该 目录 的 档案 主要 来 自 NFS server ， 所 以 可 能 就 会 发 现 几 个 情况 : 
NFS server/NFS client 刚好 有 相同 的 账号 与 群 组 


人 者 可 以 直接 以 dmtsai 的 身份 进行 服务 器 所 提供 的 文件 系统 之 
子 取 。 


NFS server 的 501 这 个 UID 账号 对 应 为 vbird 
知 NFS 服务 器 上 的 /etc/passwd 里 面 UID 501 的 使 用 者 名 称 为 vbird 时 ， 


全 端的 dmtsai 可 以 存 取 服 务 咒 端的 vbird 这 个 使 用 者 的 档案 喔 ! 只 
因 大 


两 者 具有 相同 的 UID 而 已 。 这 就 造成 很 大 的 问题 了 ! 因为 没有 人 可 以 
保证 客户 


端的 UID 所 对 应 的 账号 会 与 服务 器 端 相同 ， 那 服务 器 所 提供 的 数据 不 


束 可 能 会 
被 错误 的 使 用 者 乱 改 ? 
NFS server 并 没有 501 这 个 UID 


另 一 个 极端 的 情况 是 ， 在 服务 器 端 并 没有 501 这 个 UID 的 存在 ， 则 此 
时 dmtsai 


的 身份 在 该 目录 下 会 被 压缩 成 匿名 者 ， 一 般 NFS 的 匿名 者 会 以 UID 为 
65534 


为 其 使 用 者 ， 早 期 的 Linux distributions 这 个 65534 的 账号 名 称 通常 是 


nobody ， 我 们 的 CentOS 则 取 名 为 nfsnobody 。 但 有 时 也 会 有 特殊 的 情 
况 ， 例 


如 在 服务 器 端 分 享 /tmp 的 情况 下 ， dmtsain 的 映 份 还 是 会 保持 501 但 建 








立 的 
各 项 数据 在 服务 器 端 来 看 ， 就 会 属于 无 拥有 者 的 资料 。 
如 果 使 用 者 身份 是 root 时 
有 个 比较 特殊 的 使 用 者 ， 那 就 是 每 个 Linux 主机 都 有 的 UID 为 0 的 root 





0 
那 服 


和 
主动 了 


压缩 成 为 匿名 者 。 


总 之 ， 客 户 端 使 用 者 能 做 的 事情 是 与 UID 及 其 GID 有 关 的 ， 那 当 客 户 
端 与 服务 器 


端的 UID 及 账号 的 对 应 不 一 致 时 ， 可 能 就 会 造成 文件 系统 使 用 上 的 困 
扰 ， 这 个 就 是 


NFS 文件 系统 在 使 用 上 面 的 一 个 很 重要 的 地 方 ! 而 在 了 解 使 用 者 账号 
与 UID 及 文件 系 


统 的 关系 之 后 ， 要 实际 在 客户 端 以 NFS 取 用 服务 器 端的 文件 系统 时 ， 


你 还 得 需要 具有 : 
NFS 服务 占有 开放 可 写 入 的 权限 (与 /etc/exports 设 定 有 关 ); 
实际 的 档案 权限 具有 可 写 入 (w) 的 权限 。 
3 (2)NFS 服务 器 允许 








的 权限 ; (3) 文 件 系 统 确实 具有 w 的 权限 时 ， 你 才 具 有 该 档案 的 可 写 入 
权限 蚂 ! 尤其 


是 身份 (UID) 确认 的 环节 部 分 ， 最 容易 搞 错 啦 ! 也 因为 如 此 ， 所 以 
NFS 通常 需要 与 


NIS (十 四 章 ) 这 一 个 可 以 确认 客户 端 与 服务 器 问 身 份 一 致 的 服务 搭配 使 
用 ， 以 避免 时 


份 的 错乱 啊 ! ^ 
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Tips: 

老实 说 ， 这 个 小 节 的 数据 比较 难 懂 一 尤其 是 刚刚 接触 到 NEFS server 
的 朋友 。 因 此 ， 你 可 以 先 略 过 13.1.4 这 个 小 节 。 但是， 在 你 读 完 
与 做 完 本 章 后 续 所 有 的 实 作 之 后 ， 记 得 回 到 这 个 小 节 来 再 查阅 一 次 
文章 内 容 ， 相 信 会 有 进一步 的 认识 的 ! 

13.2 NFS Server 端的 设 定 


既然 要 使 用 NFS 的 话 ， 束 得 要 安装 NFS 所 需要 的 软件 了 ! 后 下 让 我 们 
查询 一 下 系 


统 有 无 安装 所 需要 的 软件 ， NFS 软件 的 架构 以 及 如 何 设 定 NFS 服务 器 
吧 ! 入 和信 


13.2.1 所 需要 的 软件 





以 CentOS 6.x 为 例 的 话 ， 要 设 定好 NFS 服务 器 我 们 必须 要 有 两 个 软件 
py 
别 是 : 

RPC 主 程序 : rpcbind 


就 如 同 刚 刚 提 的 到 ， 我 们 的 NFS 其 实 可 以 被 视 为 一 个 RPC 服务 ， 而 要 
局 动 任何 


一 个 RPC 服务 之 前 ， 我 们 都 需要 做 好 port 的 对 应 (mapping) 的 工作 才 
行 ， 这 


个 工作 共 实 硕 古 『 rpcbind 」 这 个 服务 所 负责 的 ! 也 就 是 说 ， 在 启动 任 
何 一 人 1 


RPC 服务 之 前 ， 我 们 都 需要 启动 rpcbind 才 行 ! (在 CentOS 5.x 以 前 这 
个 
六 软 


件 称 为 portmap， 在 CentOS 6.x 之 后 才 称 为 rpcbind 的 ! ) 
NFS 主 程序 : nfs-utils 
就 是 提供 rpc.nfsd 及 rpc.mountd 这 两 个 NFS daemons 与 其 他 相关 


documents 与 说 明文 件 、 执 行文 件 等 的 软件 ! 这 个 就 是 NFS 服务 所 需要 
的 主要 


软件 啦 ! 一 定 要 有 喔 ! 


下 现在 干 嘛 ? 赶快 去 你 的 系统 先 用 
RPM 在 一 


下 有 没有 这 两 个 软件 啦 ! 没有 的 话 赶快 用 RPM 或 yum 去 安装 喔 ! 不 然 
就 玩 不 下 去 了 ! 


例题 : 
请 问 我 的 主机 是 以 RPM 为 套件 管理 的 Linux distribution ， 例 如 Red 


Hat, CentOS 与 SuSE 等 版 本 ， 那 么 我 要 如 何 知 道 我 的 主机 里 面 是 否 已 经 
安装 


了 rpcbind 与 nfs 相关 的 软件 呢 ? 


人 。 
已 


简单 的 使 用 『 rpm -qa | grep nfs | 与 『 rpm -qa | grep rpcbind ] 
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即 可 知道 啦 ! 如 果 没 有 安 闭 的话， 在 CentOS 内 可 以 使 用 『_yum install 
nfs-utils 」 来 安装 ! 


13.2.2 NFS 的 软件 结构 
NFS 这 个 吃 吃 真 的 是 很 简单 ， 上 面 我 们 提 到 的 NFS 软件 中 ， 配 置 文件 


只 有 一 个 
执行 档 也 不 多 ， 记录 文件 也 三 三 两 两 而 已 响 ! 赶紧 先 来 看 一 看 吧 ! 人 人 ^ 
主要 配置 文件 : /etc/exports 


这 个 档案 束 是 NFS 的 主要 配置 文件 了 ! 不 过 ， 系 统 并 没有 默认 值 ， 所 
以 这 个 档 


案 『 不 一 定 会 存在 」， 你 可 能 必须 要 使 用 vim 主动 的 建立 起 这 个 档案 
喔 ! 我 们 


等 一 下 要 谈 的 设 定 也 仅 只 是 这 个 档案 而 已 响 ! 
NFS 文件 系统 维护 指令 : /usr/sbin/exportfs 
这 个 是 维护 NFS 分 享 资源 的 指令 ， 我 们 可 以 利用 这 个 指令 重新 分 享 


/etc/exports 变更 的 目录 资源 、 将 NFS Server 分 享 的 目录 凶 除 或 重新 分 享 
鱼 
下 本 








等 ， 这 个 指令 是 NFS 系统 里 面相 当 重 要 的 一 个 喔 ! 至 于 指令 的 用 法 我 
们 在 底下 


会 介绍 。 


分 享 资 源 的 登录 档 : /var/lib/nfs/*tab 


NFS 服务 器 的 登录 文件 都 放置 到 /var/lib/nfs/ 目录 里 面 ， 在 该 目录 下 
两 

人 一 个 是 etab ， 主 要 记录 了 NFS 所 分 享 出 来 的 目 
录 的 完 


0 为 一 个 xtab 则 记录 曾经 链接 到 此 NFS 服务 器 的 相关 客 
性 珊 交 


据 。 


客户 端 查 询 服 务 器 分 享 资 源 的 指令 : /usr/sbin/showmount 








这 是 另 一 个 重要 的 NFS 指令 。exportfs 是 用 在 NFS Server 端 ， 而 
showmount 


则 主要 用 在 Client 端 。 这 个 showmount 可 以 用 来 察看 NFS 分 享 出 来 的 
目录 资 


源 喔 ! 
就 说 不 难 吧 ! 主要 就 是 这 几 个 喝 ! 
13.2.3 /etc/exports 配置 文件 的 语法 与 参数 


在 开始 NFS 服务 器 的 设 定 之 前 ， 你 必须 要 了 解 的 是 ，NFS 会 直接 使 用 
到 核心 功能 ， 


所 以 你 的 核心 必须 要 有 文 持 NFS 才 行 。 万 一 如 果 你 的 核心 版 本 小 于 2.2 
版 ， 或 者 重新 


自行 编译 过 核心 的 话 ， 那么 就 得 要 很 注意 啦 ! 因为 你 可 能 会 忘记 选择 
NFS 的 核心 支持 


Wp ! 
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还 好 ， 我 们 CentOS 或 者 是 其 他 版 本 的 Linux ， 预 设 核心 通常 是 支持 
NFS 功能 的 ， 


所 以 你 只 要 确认 你 的 核心 版 本 是 目前 新 的 ”2.6.x 版 并 且 使 用 你 的 
distribution 所 


提供 的 核心 ， 那 应 该 束 不 会 有 问题 啦 ! 

Tips: 

上 面 会 提醒 您 这 个 问题 的 原因 是 ， 以 前 乌 哥 都 很 喜欢 自行 编译 一 个 
特别 的 核心 ， 

但 是 茶 次 编译 核心 时 ， 

却 态 记 加 上 了 NFS 的 核心 功能 ， 

结果 NFS server 无 论 如 何 也 搞 不 起 来 一 最 后 才 想 到 原来 俺 的 核心 
是 非 正 规 的 .. 


至 于 NFS 服务 器 的 架设 实在 很 简单 ， 你 只 要 编辑 好 主要 配置 文件 
/etc/exports 之 后 ， 


先 启动 rpcbind (知已 经 局 动 了 ， 就 不 要 重新 局 动 )， 然 后 再 局 动 nfs ， 你 
的 NFS 就 


成 功 了 ! ”不 过 这 样 的 设 定 能 否 对 客户 端 生 效 ? 那 束 得 要 考虑 你 权限 方 
面 的 设 定 能 力 了 。 


废话 少 说 ， 我 们 就 直接 来 看 看 那个 /etc/exports 应 该 如 何 设 定 吧 ! 某 些 


distributions 并 不 会 主动 提供 /etc/exports 档案 ， 所 以 请 你 自行 手动 建立 























避 吧 : 
[root@www ~]# vim /etc/exports 
/tmp 192.168.100.0/24(ro) localhost(rw) 
*.ev.ncku.edu.tw(ro,sync) 
分 享 目 录 ] [第 一 部 主机 (权限 )] [可 用 主机 名 ] [可 用 通配符 ] 


你 看 看 ， 这 个 配置 文件 有 够 简单 吧 ! 每 一 行 最 前 面 是 要 分 享 出 来 的 目 
录 ， 注 意 喔 ! 是 以 


目录 为 单位 啊 ! 然后 这 个 目录 可 以 依照 不 同 的 权限 分 享 给 不 同 的 主 
机 ， 像 乌 哥 上 面 的 


例子 说 明 是 : ”要 将 /tmp 分别 分 享 给 三 个 不 同 的 主机 或 网 域 的 意思 。 记 
得 主机 后 面 以 


小 括号 0 设计 权限 参数 ， 若 权限 参数 不 止 一 个 时 ， 则 以 逗号 (,) 分 开 。 
且 主 机 名 与 


小 括号 是 连 在 一 起 的 喔 ! 在 这 个 档案 内 也 可 以 利用 # 来 批注 呢 。 
至 于 主机 名 的 设 定 主要 有 几 个 方式 : 

可 以 使 用 完整 的 耳 或 者 是 网 域 ， 例 如 192.168.100.10 或 
192.168.100.0/24 ， 或 192.168.100.0/255.255.255.0 都 可 以 接受 ! 


也 可 以 使 用 主机 名 ， 但 这 个 主机 名 必须 要 在 /etc/hosts 内 ， 或 可 使 用 
DNS 


找到 该 名 称 才 行 啊 ! 反正 重点 是 可 找到 IP ” 束 是 了 。 如 果 是 主机 名 的 
话 ， 那 么 他 


可 以 支持 通配符 ， 例 如 * 或 ? 均 可 接受 。 
至 于 权限 方面 (就 是 小 括号 内 的 参数 ) 第 见 的 参数 则 有 : 

















参数 值 

内 容 说 明 

该 目录 分 享 的 权限 是 可 探 写 (read-write) 或 只 读 

rw 

(read-only)， 但 最 终 能 不 能 读 写 ， 还 是 与 文件 系统 的 rwx 及 号 
ro 

份 有 大 
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Sync 

sync 代表 数据 会 同步 写 入 到 内 存 与 硬盘 中 ，async 则 代表 数据 会 
async 

先 暂 存 于 内 存 当 中 ， 而 非 直接 写 入 硬盘 ! 

客户 端 使 用 NFS 文件 系统 的 账号 若 为 root 时， 系统 该 如 何 判断 
这 个 账号 的 吴 份 ? 预 设 的 情况 下 ， 客 户 端 root 的 里 份 会 由 


no_root_squash root_squash 的 设 定 压缩 成 nfsnobody， 如 此 对 服务 器 的 
系统 会 


ee 较 有 保障 。 但 如 果 你 想 要 开放 客户 端 使 用 root 里 份 来 操作 服 


器 的 文件 系统 ， 那 么 这 里 就 得 要 开 no_root_squash 才 行 ! 
不 论 登 入 NFS 的 使 用 者 身份 为 何 ， 他 的 身份 都 会 被 压缩 成 为 匿 


all_squash 


名 用 户 ， 通 常 也 就 是 nobody(nfsnobody) 啦 ! 

anon 意 指 anonymous (匿名 者 ) 前 面 关 于 *_squash 提 到 的 匿 

名 用 户 的 UID 设 定 值 ， 通 常 为 nobody(nfsnobody)， 但 是 你 可 以 
anonuid 


自行 设 定 这 个 UID 的 值 ! 当然 ， 这 个 UID 必需 要 存在 于 你 的 





anongid 

/etc/passwd 当中 ! anonuid 指 的 是 UID 而 anongid 则 是 群 组 

的 GID 哆 。 

这 是 几 个 比较 第 见 的 权限 参数 ， 如 果 你 有 兴趣 玩 其 他 的 参数 时 ， 请 上 自行 


man exports 可 


以 发 现 很 多 有 趣 的 数据 。 ” 接 下 来 我 们 利用 上 述 的 几 个 参数 来 实际 思考 
一 下 几 个 有 趣 的 


小 习题 : 
例题 一 : 让 root 保有 root 的 权限 


我 起 将 /bmp 分享 出 去 给 大 家 使 用 ， 由 于 这 个 目录 本 来 就 是 大 家 都 可 以 
读 写 的 ， 


因此 想 让 所 有 的 人 都 可 以 存 取 。 此 外 ， 我 要 让 root 写 入 的 档案 还 是 具有 


root 的 


权限 ， 那 如 何 设计 配置 文件 ? 


父 : 


II。 





[root@www ~]# vim /etc/exports 


# 任何 人 都 可 以 用 我 的 /mp ， 用 通配符 来 处 理 主机 名 ， 重 点 在 





no_root_squash 
/tmp *(rw,no_root_squash) 


主机 名 可 以 使 用 通配符 ， 上 头 表 示 无 论 来 目 哪 里 都 可 以 使 用 我 的 /tmp 
这 个 目录 。 


再 次 提醒 ， 『 *(rw,no_root_squash) 」 这 一 串 设 定 值 中 间 是 没有 空格 符 
的 喔 ! 而 


/tmp 与 *(rw,no_root_squash) 则 是 有 空格 符 来 隔 开 的 ! 特别 注意 到 那个 


no_root_squash 的 功能 ! 在 这 个 例子 中 ， 如 果 你 是 客户 端 ， 而 且 你 是 以 
root 的 里 


份 登入 你 的 Linux 主机 ， 那 么 当 你 mount 上 我 这 部 主机 的 /tmp 之 后 ， 
你 在 该 


mount 的 目录 当中 ， 将 具有 [root 的 权限 ! ] 
例题 二 : 同一 目录 针对 不 同 范 围 开 放 不 同 权 限 


全 人 会 大 内 目录 /home/public 公开 出 去 ， 但 是 只 有 限定 我 的 局 域 
网 络 


192.168.100.0/24 这 个 网 域 且 加 入 vbirdgroup (第 一 章 的 例题 建立 的 群 组 ) 
的 用 


户 才能 够 读 写 ， 其 他 来 源 则 只 能 读 取 。 


2 
Er 
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[root@www ~]# mkdir /home/public 
[root@www ~]# setfacl -m g:vbirdgroup:rwx /home/public 


[root@www ~]# vim /etc/exports 


/tmp *(rw,no_root_squash) 

/home/public 192.168.100.0/24(rw) *(ro) 

# ”继续 累加 在 后 面 ， 注 意 ， 我 有 将 主机 与 网 域 分 为 两 段 ”( 用 空白 隔 开 ) 
咀 ! 

上 面 的 例子 说 的 是 ， 当 我 的 卫 是 在 192.168.100.0/24 这 个 网 段 的 时 候 ， 
那么 当 


我 在 Client 端 挂 载 了 Server 端的 home/public 后 ， 针 对 这 个 被 我 挂 载 的 
目录 


我 就 具有 可 以 读 写 的 权限 一 至 于 如 果 我 不 是 在 这 个 网 段 之 内 ， 那 么 这 个 
目录 的 数据 


我 就 仅 能 读 取 而 已 ， 亦 即 为 只 读 的 属性 啦 ! 

需要 注意 的 是 ， 通 配 符 仅 能 用 在 主机 名 的 分 辨 上 面 ， 卫 或 网 段 就 只 能 用 
192.168.100.0/24 的 状况 ， 不 可 以 使 用 192.168.100.* 喔 ! 

例题 三 : 仅 给 某 个 单一 主机 使 用 的 目录 设 定 

我 要 将 一 个 私人 的 目录 /home/test 开放 给 192.168.100.10 这 个 Client 端 


的 机 器 来 使 用 时 ， 该 如 何 设 定 ? 假设 使 用 者 的 号 份 是 dmtsai 才 具 有 完整 
的 权限 时 。 


父 : 


Er 








[root@www ~]# mkdir /home/test 
[root@www ~]# setfacl -m u:dmtsai:rwx /home/test 
[root@www ~]# vim /etc/exports 


/tmp *(rw,no_root_squash) 


/home/public 192.168.100.0/24(rw) *(ro) 
/home/test 192.168.100.10(rw) 
# 只 要 设 定 IP 正确 即 可 ! 


这 样 就 设 定 完成 了 ! 而 且 ， 只 有 192.168.100.10 这 部 机 器 才能 对 
/home/test 这 


个 目录 进行 存 取 喔 ! 
例题 四 : 开放 匿名 登录 的 情况 
我 要 让 *.centos.vbird 网 域 的 主机 ， 登 入 我 的 NFS 主机 时 ， 可 以 存 取 


/home/linux ， 但 是 他 们 存 数 据 的 时 候 ， 我 希望 他 们 的 UID 与 GID 都 变 
成 45 这 


we 者 ， 假 设 我 NFS 服务 器 上 的 UID 45 与 GID 45 的 用 户 / 组 











nfsanon 。 

答 : 

[root@www ~]# groupadd -g 45 nfsanon 

[root@www ~|]# useradd -u 45 -g nfsanon nfsanon 
[root@www ~]# mkdir /home/linux 

[root@www ~]# setfacl -m u:nfsanon:rwx /home/linux 
[root@www ~]# vim /etc/exports 


/tmp *(rw,no_root_squash) 
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/home/public 192.168.100.0/24(rw) *(ro) 

/home/test 192.168.100.10(rw) 

/home/linux *.centos.vbird(rw,all_squash,anonuid=45,anongid=45) 

# 如 果 要 开放 匿名 ， 那 么 重点 是 all_squash， 并 且 要 配合 anonuid 喔 ! 
特别 注意 到 那个 all_squash 与 anonuid, anongid 的 功能 ! 如 此 一 来 ， 当 


clientlinux.centos.vbird 登入 这 部 NFS 主机 ， 并 日 在 /home/linux 写 入 档 


条 


| 0 人 与 所 有 群 组 ， 就 会 变 成 /etc/passwd 里 面 对 应 的 UID 
为 45 的 


那个 身份 的 使 用 者 了 ! 
上 面 四 个 案例 的 权限 如 果 依 照 


权限 会 是 


什么 情况 呢 ? 让 我 们 来 检查 一 下 : 








客户 端 与 服务 器 端 具有 相同 的 UID 与 账号 : 


假设 我 在 192.168.100.10 登入 这 部 NFS (IP 假设 为 192.168.100.254) 服务 
礁 ， 


并 且 我 在 192.168.100.10 的 账号 为 dmtsai 这 个 身份 ， 同 时 ， 在 这 部 NFS 
上 面 也 有 


dmtsai 这 个 账号 ， 并 具有 相同 的 UID ， 果 真如 此 的 话 ， 那 么 : 
1. 由 于 192.168.100.254 这 部 NFS 服务 器 的 /tmp 权限 为 -rwxrwxrwt ， 所 


以 我 (dmtsai 在 192.168.100.10 上 面 ) 在 /tmp 底下 具有 存 取 的 权限 ， 并 且 





写 入 的 档案 所 有 人 为 dmtsai ; 


2 在 ” /home/public 当中 ， 由 于 我 有 读 写 的 权限 ， 所 以 如 果 在 
/home/public 


这 个 目录 的 权限 对 于 dmtsai 有 开放 写 入 的 话 ， 那 么 我 就 可 以 读 写 ， 并且 
我 写 入 

的 档案 所 有 人 是 dmtsai 。 但 是 万 一 /home/public 对 于 dmtsai 这 个 使 用 者 
并 

没有 开放 可 以 写 入 的 权限 时 ， ”那么 我 还 是 没有 办 法 写 入 档案 喔 ! 这 点 
请 特别 留 

意 ! 


3. 在 /home/test 当中 ， 我 的 权限 与 home/public 相同 的 状态 ! 还 需要 
NES 


服务 器 的 home/test 对 于 dmtsai 有 开放 权限 ; 

4. 在 /home/linux 当中 就 比较 麻烦 ! 因为 不 论 你 是 何 种 user ， 你 的 身份 
UID=45 这 个 账号 ! 所 以 ， 这 个 目录 就 必需 要 针对 UID = 45 
4] 那 人 

账号 名 称 ， 修 改 他 的 权限 才 行 ! 


客户 端 与 服务 器 端的 账号 并 未 相同 时 : 
假如 我 在 192.168.100.10 的 身份 为 vbird (uid 为 600)， 但 是 


192.168.100.254 这 部 NFS 主机 却 没有 uid=600 的 账号 时 ， 情 况 会 变 成 怎 
样 呢 ? 
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各 
1. 我 在 /tmp 底下 还 是 可 以 写 入 ， 只 是 该 档案 的 权限 会 保持 为 UID=600 





= 出 看 起 来 就 会 怪 怪 的 ， 因为 找 不 到 UID=600 这 个 账号 的 显 
人 外 


拥有 者 会 填 上 600 哟 ! 
2. 我 在 /home/public 里 面 是 否 可 以 写 入 ， 还 需要 视 /home/public 的 权限 
而 





定 ， 不 过 ， 由 于 没有 加 上 all_squash 的 参数 ， 因此 在 该 目录 下 会 保留 客 
户 端 


的 使 用 者 UID， 同 上 一 点 所 示 。 
3. /homel/test 的 观点 与 /home/public 相同 ! 
4. /home/linux 底下 ， 我 的 身份 就 被 变 成 UID = 45 那个 使 用 者 就 是 了 ! 


当 客 户 端的 身份 为 root 时 : 


假如 我 在 192.168.100.10 的 身份 为 root 呢 ? root 这 个 账号 每 个 系统 都 会 
有 





呀 ! 权限 变 成 怎样 呢 ? 
1. 我 在 /tmp 里 面 可 以 写 入 ， 并 且 由 于 no_root_squash 的 参数 ， 改 变 了 预 


设 
的 root_squash 设 定 值 ， 所 以 在 /tmp 写 入 的 档案 所 有 人 为 root 喔 ! 


2: 2 /home/public 底下 的 身份 还 是 被 压缩 成 为 nobody 了 ! 因为 默认 
属性 


里 面 都 具有 root_squash 呢 ! 所 以 ， 如 果 /home/public 有 针对 nobody 开 
放 








写 入 权限 时 ， 那 么 我 就 可 以 写 入 ， 但 是 档案 所 有 人 变 成 nobody ”就 是 
el 


3. /home/test 与 /home/public 相同 ; 


4. /home/linux 的 情况 中 ， 我 root 的 身份 也 被 压缩 成 为 UID = 45 的 那个 
使 


用 者 了 ! 


这 样 的 权限 讲解 之 后 ， 你 可 以 了 解 了 吗 ? 这 里 是 最 重要 的 地 方 ， 如 果 这 
一 大 通过 了 


底下 的 吃 吃 就 没有 问题 啦 ! 人 和 人 ! 在 你 将 本 文 读 完 后 ， 最 好 还 是 回 到 
13.1.4NFS 的 


当 案 访 扎 和 瞧 一 瞧 ， 才能 解决 NFS 的 问题 喔 ! 
13.2.4 启动 NFS 


配置 文件 搞定 后 ， 当 然 要 开始 来 启动 才 行 啊 ! 而 前 面 我 们 也 提 到 过 ， 
NFS 的 启动 还 


需要 rpcbind 的 协助 才 行 啊 ! 所 以 赶紧 来 局 动 吧 ! 

















[root@www ~|]# /etc/init.d/rpcbind start 


# 如 果 rpcbind 本 来 就 已 经 在 执行 了 ， 那 就 不 需要 局 动 啊 ! 
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[root@www ~]# /etc/init.d/nfs start 
# 有 时 候 某 些 distributions 可 能 会 出 现 如 下 的 警告 讯 县 : 


exportfs: /etc/exports [3]: No 'Sync' or 'async' option specified 


for export "192.168.100.10:/home/test". 

Assuming default behaviour ('sync'). 

# 上 面 的 警告 讯 县 仪 是 在 告知 因为 我 们 没有 指定 sync 或 async 的 参数 ， 
# 则 NFS 将 默认 会 使 用 sync 的 信息 而 已 。 你 可 以 不 理 他 ， 也 可 以 加 入 








/etc/eXports 。 

[root@www ~]# /etc/init.d/nfslock start 
[root@www ~]# chkcontfig rpcbind on 
[root@www ~1# chkcontig nfs on 


[root@www ~]# chkcontfig nfslock on 


那个 rpcbind 根本 就 不 需要 设 定 ! 只 要 直接 局 动 它 就 可 以 啦 ! 启动 之 


port 111 的 sunrpc 的 服务 ， 那 就 是 rpcbind 啦 ! 至 于 nfs 则 会 启动 至 少 两 
人 


的 daemon 出 现 ! 然后 就 开始 在 监听 Client 端的 需求 啦 ! 你 必须 要 很 注 
意 屏 幕 上 面 的 


输出 信息 ， “因为 如 果 配 置 文件 与 错 的 话 ， 屏 幕 上 会 显示 出 错误 的 地 方 
喔 ! 











此 外 ， 如 果 你 想 要 增加 一 些 NFS 服务 器 的 数据 一 致 性 功能 时 ， 可 能 需 
机 周到 


rpc.lockd 及 rpc.statd 等 RPC 服务 ， 那么 或 许 你 可 以 增加 一 个 服务 ， 那 
束 是 


nfslock 喝 ! 启动 之 后 ， 请 赶快 到 /var/log/messages 里 面 看 看 有 没有 被 正 
确 的 启动 





呢 ? 
[root@www ~]#tail /var/log/messages 


Jul 27 17:10:39 www kernel: Installing knfsd (copyright (C) 1996 
okir@monad.swb.de). 


Jul 27 17:10:54 www kernel: NFSD: Using /var/lib/nfs/v4recovery as the 
NFSv4 state 


recovery directory 
Jul 27 17:10:54 www kernel: NFSD: starting 90-second grace period 
Jul 27 17:11:32 www rpc.statd[3689]: Version 1.2.2 starting 


SS 接 下 来 我 们 来 瞧 一 瞧 那 么 “NFS 到 底 开 了 哪 
些 塌 口 ? 





[root@www ~]# netstat -tulnp| grep -E "(rpclnfs)' 

Active Internet connections (only servers) 

Proto Recv-Q Send-Q Local Address Foreign Address State 
PID/Program name 

tcp 0 0 0.0.0.0:875 0.0.0.0:* LISTEN 

3631/rpc.rquotad 

tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 

3601/rpcbind 

tcp 0 0 0.0.0.0:48470 0.0.0.0:* LISTEN 
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3647/rpc.mountd 

tcp 0 0 0.0.0.0:59967 0.0.0.0:* LISTEN 
3689/rpc.statd 

tcp 0 0 0.0.0.0:2049 0.0.0.0:* LISTEN - 
udp 0 0 0.0.0.0:875 0.0.0.0:* 
3631/rpc.rquotad 

udp 0 0 0.0.0.0:111 0.0.0.0:* 
3601/rpcbind 

udp 0 0 0.0.0.0:897 0.0.0.0:* 
3689/rpc.statd 

udp 0 0 0.0.0.0:46611 0.0.0.0:* 
3647/rpc.mountd 

udp 0 0 0.0.0.0:808 0.0.0.0:* 
3601/rpcbind 

udp 0 0 0.0.0.0:46011 0.0.0.0:* 
3689/rpc.statd 


注意 看 到 上 面 喔 ! 总 共产 生 了 好 多 的 port 喔 ! 真是 可 怕 ! 不 过 主要 的 埋 


口 是 : 
rpcbind 启动 的 port 在 111 ， 同 时 启动 在 UDP 与 TCP; 
nfs 本 里 的 服务 启动 在 port 2049 上 头 ! 
其 他 rpc.* 服务 启动 的 port 则 是 随机 产生 的 ， 因 此 需 同 port 111 注 


册 。 


好 了 ， 那 我 怎么 知道 每 个 RPC 服务 的 注册 状况 ? 没关系， 你 可 以 使 用 
rpcinfo 来 


观察 的 。 

[root@www ~]# rpcinfo -p [IP|hostname] 

[root@www ~]# rpcinfo -tl-u IPlhostname 程序 名 称 

选项 与 参数 : 

-p : 针对 某 IP (未 写 则 预 设 为 本 机 ) 显示 出 所 有 的 port 与 porgram 的 信 





ls 





: 针对 茶 主 机 的 茶 文 程序 检查 其 TCP 封包 所 在 的 软件 版 本 ; 
-u : 针对 茶 主 机 的 茶 文 程序 检查 其 UDP 封包 所 在 的 软件 版 本 ; 


#1. 显示 出 目前 这 部 主机 的 RPC 状态 


1 
人 





[root@www ~]# rpcinfo -p localhost 
program vers proto port service 
100000 4 tcp 111 portmapper 
100000 3 tcp 111 portmapper 
100000 2 tcp 111 portmapper 
100000 4 udp 111 portmapper 
100000 3 udp 111 portmapper 
100000 2 udp 111 portmapper 
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100011 1 udp 875 rquotad 

100011 2 udp 875 rquotad 

100011 1 tcp 875 rquotad 

100011 2 tcp 875 rquotad 

100003 2 tcp 2049 nfs 

…( 压 下 省 略 )..… 

# 程序 代号 NFS 版 本 封包 类 型 塌 口 服务 名 称 

# 2. 针对 nfs 这 个 程序 检查 其 相关 的 软件 版 本 信息 ( 仅 察 看 TCP 封包 ) 











[root@www ~]# rpcinfo -t localhost nfs 

program 100003 version 2 ready and waiting 

program 100003 version 3 ready and waiting 

program 100003 version 4 ready and waiting 

# 可 发 现 提供 nfs 的 版 本 共有 三 种 ， 分 别 是 2, 3, 4 版 哟 ! 

仔细 瞧 瞧 ， 上 面 出 现 的 信息 当中 除了 程序 名 称 与 埋 口 的 对 应 可 以 与 


netstat -tlunp 和 输 


出 的 结果 作 比 对 之 外 ， 还 需要 注意 到 NFS 的 版 本 文 持 ! 新 的 NFS 版 本 
传输 速度 较 快 ， 


由 上 表 看 起 来 ， 我 们 的 NEFS 至 少 文 持 到 第 4 版 ， 应 该 还 算 合理 啦 ! 
和 人 人! 如 果 你 的 


rpcinfo “无 法 输出， 那 就 表示 注册 的 数据 有 问题 啦 ! 可 能 需要 重新 局 动 
rpcbind 与 nfs 








喔 ! 
13.2.5 NFS 的 联机 观察 
在 你 的 NFS 服务 器 设 定 妥当 之 后 ， 我 们 可 以 在 server 端 先 自我 测试 一 


下 是 否 


以 联机 喔 ! 就 是 利用 showmount 这 个 指令 来 查阅 ! 





[root@www ~]# showmount [-ae] [hostnamelIP] 

选项 与 参数 : 

-a : 显示 目前 主机 与 客户 端的 NFS 联机 分 享 的 状态 ; 

-e :显示 某 部 主机 的 /etc/exports 所 分 享 的 目录 数据 。 

#1. 请 显示 出 刚刚 我 们 所 设 定好 的 相关 exports 分 享 目录 信息 








[root@www ~]# showmount -e localhost 
Export list for localhost: 

/tmp * 

/home/linux *.centos.vbird 

/home/test 192.168.100.10 

/home/public (everyone) 
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很 简单 吧 ! 所 以 ， 当 你 要 扫 瞄 某 一 部 主机 他 提供 的 NEFS 分 胖 的 目录 
时 ， 融 使 用 


showmount -e IP (或 hostname) 即 可 ! 非常 的 方便 吧 ! 这 也 是 NFS client 
端 最 常用 














的 指令 喔 ! “另外 ， NFS 关于 目录 权限 设 定 的 数据 非常 之 多 ! 在 


/etc/exports 只 是 比 


较 特 别 的 权限 参数 而 已 ， 还 有 很 多 预 设 参数 呢 ! ”这 些 预 设 参 数 在 哪 ? 
我 们 可 以 检查 一 


下 /varvlibmfs/etab 就 知道 了 ! 





[root@www ~]# tail /var/lib/nfs/etab 

/home/public 
192.168.100.0/24(rw,sync,wdelay,hide,nocrossmnt,secure,root_squash, 
no_all_squash,no_subtree_check,secure_locks,acl,anonuid=65534,anongid=6\ 
) 

# 上 面 是 同一 行 ， 可 以 看 出 除了 rw, sync, root_squash 等 等 ， 





# 其 实 还 有 anonuid 及 anongid 等 等 的 设 定 ! 


上 面 仅 仅 是 一 个 小 范例 ， 透 过 分 析 anonuid=65534 对 比 /etc/passwd 后 ， 
会 发 现 


CentOS 出 现 的 是 nfsnobody 啦 ! 这 个 账号 在 不 同 的 版 本 都 可 能 会 不 一 样 
的 ! 另外 ， 如 


果 有 其 他 客户 端 挂 载 了 你 的 NFS 文件 系统 时 ， 那 么 该 客户 端 与 文件 系 
统 信息 就 会 被 记 


录 到 /var/lib/nfs/xtab 里 头 去 的 ! 
另外 ， 如 果 你 想 要 重新 处 理 /etc/exports 档案 ， 当 重新 设 定 完 /etc/exports 


后 


需 不 需要 重新 启动 nfs ? 不 需要 啦 ! 如 果 重 新 启动 nfs 的 话 ， 要 得 再 问 
RPC 注册 ! 








很 麻烦 一 这 个 时 候 我 们 可 以 透 过 exportfs 这 个 指令 来 帮忙 喔 ! 
[root@www ~]# exportfs [-aruv] 

选项 与 参数 : 

-a: 全 部 挂 载 (或 卸 除 ) /etc/exports 档案 内 的 设 定 

-[: 重新 挂 载 /etc/exports 里 面 的 设 定 ， 此 外 ， 亦 同步 更 新 /etc/exports 
及 /var/lib/nfs/xtab 的 内 容 ! 

-u : 旨 除 菜 一 日 录 

-V : 在 export 的 时 候 ， 将 分 享 的 目录 显示 到 屏幕 上 ! 


#1. 重新 挂 载 一 次 /etc/exports 的 设 定 








[root@www ~]# exportfs -arv 
exporting 192.168.100.10:/home/test 
exporting 192.168.100.0/24:/home/public 
exporting *.centos.vbird:/home/linux 
exporting *:/home/public 
exporting *:/tmp 
#2. 将 已 经 分 享 的 NFS 目录 资源 ， 通 通 都 印 除 
[root@www ~]# exportfs -auv 
这 时 如 果 你 再 使 用 showmount -e localhost 就 会 看 不 到 任何 资源 了 ! 
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要 熟悉 一 下 这 个 指令 的 用 法 喔 ! 这 样 一 来 ， 就 可 以 直接 重新 exportfs 我 
们 的 记录 在 


/etc/exports ”的 目录 数据 嗓 ! 但 是 要 特别 留意 ， 如 果 你 仅 有 处 理 配 置 文 
件 ， 但 并 没有 


相对 应 的 目录 (home/public 等 目录 ) 可 以 提供 使 用 啊 ! 那 可 能 会 出 现 一 


些 警 告 讯 息 





喔 ! 所 以 记得 要 建立 分 享 的 目录 才 对 ! 
13.2.6 NFS 的 安全 性 


在 NFS 的 安全 性 上 面 ， 有 些 地 方 是 你 必须 要 知道 的 喔 ! 底下 我 们 分 别 





防火 墙 的 设 定 问题 与 解决 方案 : 


一 般 来 说 ， NFS 的 服务 仅 会 对 内 部 网 域 开 放 ， 不 会 对 因特网 开放 的 。 
然而 ， 如 果 


你 有 特殊 需求 的 话 ， 那么 也 可 能 会 跨 不 同 网 域 就 是 了 。 但 是 ，NFS 的 
防火 墙 特 别 难 搞 ， 


为 什么 呢 ?” 因 为 除了 固定 的 port 111, 2049 之 外 ， 还 有 很 多 不 固定 的 夫 
口 是 由 








rpc.mountd, rpc.rquotad 等 服务 所 开局 的 ， 所 以 ， 你 的 iptables 就 很 难 设 
定 规则 ! 


那 怎 办 ? 难道 整个 防火 墙 机 制 都 要 取消 才 可 以 ? 


为 了 解决 这 个 问题 ， CentOS 6.x 有 提供 一 个 固定 特定 NFS 服务 的 埋 口 


那 驶 是 /etc/sysconfig/nfs 啦 ! 你 在 这 个 档案 里 面 束 能 够 指定 特定 的 塌 
口 ， 这 样 每 








次 启动 nfs 时 ， 相 关 服 务 启 动 的 塌 口 就 会 固定 ， 如 此 一 来 ， 我 们 就 能 够 
设 定 正 确 的 防 


火 墙 哆 ! 这 个 配置 文件 内 容 很 多 ， 绝 大 部 分 的 数据 你 都 不 要 去 更 改 ， 只 
要 改 跟 PORT 这 


个 关键 词 有 关 的 数据 即 可 。 那么 需要 更 改 的 rpc 服务 有 哪些 呢 ? 主要 有 


mountd, 

rquotad, nlockmgr 这 三 个 ， 所 以 你 应 该 要 这 样 改 : 
[root@www ~]# vim /etc/sysconfig/nfs 
RQUOTAD_PORT=1001 <== 约 在 13 行 左 布 
LOCKD_TCPPORT=30001 <== 约 在 21 行 左右 
LOCKD_UDPPORT=30001 <== 约 在 23 行 左 右 
MOUNTD_PORT=1002 <== 约 在 41 行 左右 


# 记得 设 定 值 最 左边 的 批注 服务 要 拿 挥 之 外 ， 塌 口 的 值 你 也 可 以 自行 决 
定 。 











[root@www ~]# /etc/init.d/nfs restart 

[root@www ~]# rpcinfo -p | grep -E ‘(rquotalmountlnlock)' 
100011 2 udp 1001 rquotad 

100011 2 tcp 1001 rquotad 

100021 4 udp 30001 nlockmgr 

100021 4 tcp 30001 nlockmegr 

100005 3 udp 1002 mountd 
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100005 3 tcp 1002 mountd 
上 述 的 输出 数据 已 经 被 鸟 哥 汇 整 过 了 ， 没 用 到 的 塌 口 先 挪 近 了 啦 ! 


很 可 怕 吧 ! 如 果 想 要 开放 NFS 给 别 的 网 域 的 朋友 使 用 ， 又 不 想 要 让 对 
方 拥有 其 他 服务 


的 登入 功能 ，“ 那 你 的 防火 墙 就 得 要 开放 上 述 的 十 个 埋 口 啦 ! 有 够 麻烦 
的 一 假设 你 想 要 


开放 120.114.140.0/24 这 个 网 域 的 人 能 够 使 用 你 这 部 服务 器 的 NFS 的 资 
源 ， 且 假设 








那么 你 还 得 要 这 样 做 才能 够 针 


对 谈 网 域 行 昌 ， 


[root@www ~]# vim /usr/local/virus/iptables/iptables.allow 

iptables -A INPUT -i $SEXTIF -p tcp -s 120.114.140.0/24 -m multiport \ 
--dport 111,2049,1001,1002,30001 -j ACCEPT 

iptables -A INPUT -i $EXTIF -p udp -s 120.114.140.0/24 -m multiport \ 
--dport 111,2049,1001,1002,30001 -j ACCEPT 

[root@www ~]# /usr/local/virus/iptables/iptables.rule 


# ”总 是 要 重新 执行 这 样 防 火 墙 规则 才 会 顺利 的 生效 啊 ! 别 态 记 ! 别 态 
记 ! 


使 用 /etc/exports 设 定 更 安全 的 权限 : 


这 就 罕 涉 到 你 的 多 辑 思考 了 ! 怎么 设 定 部 没有 关系 ， 但 是 在 『 便 利 | 与 
[安全 」 之 


间 ， 要 找到 你 的 平衡 点 响 ! 善 用 root_squash 及 all_squash 等 功能 ， 再 利 


用 anonuid 


等 等 的 设 定 来 规范 登入 你 主机 的 用 户 身份 ! 应 该 还 是 有 办 法 提供 一 个 较 
为 安全 的 NFS 


服务 器 的 ! 


另外 ， 当 然 啦 ， 你 的 NEFS 服务 器 的 文件 系统 之 权限 设 定 也 需要 很 留 
意 ! 不 要 随便 


设 定 成 为 -rwxrwxrwx ， 这 样 会 造成 你 的 系统 『 很 大 的 困扰 」 的 啊 ! 


更 安全 的 partition 规划 : 


ee 具有 多 部 的 Linux 主机 ， 并 且 预 计 彼 此 分 享 出 目 
录 时 ， 那 


么 在 安装 Linux 的 时 候 ， 最 好 束 可 以 规划 出 一 块 partition 作为 预 留 之 
用 。 因 为 『 NFS 


可 以 针对 目录 来 分 享 ] ， 因 此 ， 你 可 以 将 预 留 的 partition 挂 载 在 任何 一 
个 挂 载 点 ， 


再 将 该 挂 载 点 (就 是 目录 啦 ! ) 由 /etc/exports 的 设 定 中 分 享 出 去 ， 那 么 整 
个 工作 环 


境 中 的 其 他 Linux 主机 就 可 以 使 用 该 NFS 服务 器 的 那 块 预 留 的 partition 
了 ! 所 以 ， 


在 主机 的 规划 上 面 ， 主 要 需要 留意 的 只 有 partition 而 已 。 此 外 ， 由 于 分 


Sn 
[ 


享 的 
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partition 可 能 较 容易 被 入 侵 ， 最 好 可 以 针对 该 partition 设 定 比 较 严 格 的 


参数 在 
/etc/fstab 当中 喔 ! 


此 外 ， 如 宁 你 的 分 割 做 的 不 够 好 ， 举 例 来 说 ， 很 多 人 都 喜欢 使 用 懒 人 分 
割 法 ， 亦 即 


整个 系统 中 只 有 一 个 根 目录 的 partition 而 已 。 这 样 做 会 有 什么 问题 呢 ? 


假设 你 分 至 


的 是 /home 这 个 给 一 般 用 户 的 目录 好 了 ， 有 些 用 户 觉 得 这 个 NFS 的 磁 
盘 太 好 用 了 ， 结 


果 使 用 者 就 将 他 的 一 大 堆 暂 存 数据 通通 塞 进 这 个 NFS 磁盘 中 。 想 一 
想 ， 如 果 整 个 根 目 


录 就 因为 这 个 /home 被 压 爆 了 ， 那么 你 的 系统 将 会 造成 无 法 读 写 的 困 
扰 。 因此 个 


民 好 的 分 割 规 划 ， 或 者 是 利用 磁盘 配额 来 限制 还 是 很 重要 的 工作 。 





NFS 服务 右 关 机 前 的 注意 事项 : 


需要 注意 的 是 ， 由 于 NFS 使 用 的 这 个 RPC 服务 ， 当 客户 端 连 上 服务 器 
时 ， 那 么 你 


的 服务 器 想 要 头 机， 那 可 就 会 成 为 『 不 可 能 的 任务 」! 如 果 你 的 服务 
右上 面 还 有 客户 


端 在 联机 ， 那 么 你 要 关机 ， ”可 能 得 要 等 到 数 个 钟头 才能 够 正常 的 关机 
成 功 ! 嘎 ! 真 的 


假 的 ! 不 相信 吗 ? 不 然 你 自 个 儿 试 试看 ! 和 A! 


所 以 哆 ， 建 议 你 的 NFS Server 想 要 关机 之 前 ， 能 先 『 关 挥 rpcbind 与 
nfs 」 这 


两 个 东西 ! 如 果 无 法 正确 的 将 这 两 个 daemons 关 挤 ， 那 么 先 以 netstat - 
utlp 找 出 


PID ， 然 后 以 kill 将 他 关 挥 先 ! 这 样 才 有 办 法 正 第 的 关机 成 功 蚂 ! 这 个 


请 特别 特别 的 
注意 呢 ! 


当然 啦 ， 你 也 可 以 利用 showmount -a localhost 来 查 出 来 那个 客户 端 还 在 
联机 ? 


或 者 是 查阅 /var/lib/nfs/rmtab 或 xtab 等 档案 来 检查 亦 可 。 找 到 这 些 客户 
端 后 ， 可 


以 直接 call 他 们 啊 ! 让 他 们 能 够 帮 帮 忙 先 ! 和 人 人 


事实 上 ， 客 户 问 以 NEFS 联机 到 服务 器 端 时 ， 如 果 他 们 可 以 下 达 一 些 比 
较 不 那么 『 硬 ] 


的 挂 载 参 数 时 ， ”就 能 够 减少 这 方面 的 问题 喔 ! 相关 的 安全 性 可 以 参考 
下 一 小 节 的 客户 











13.3 NFS 客户 端的 设 定 








既然 NFS 服务 器 最 主要 的 工作 就 是 分 享 文件 系统 给 网 络 上 其 他 的 客户 
端 ， 所 以 客 


户 端 当然 得 要 挂 载 这 个 玩意 儿 嘿 ! 此外， 服务 器 端 可 以 加 设防 火 墙 来 
保护 自己 的 文件 


系统 ， 那 么 客户 端 挂 载 该 文件 系统 后 ， 难 道 不 需要 保护 自己 ? ”呵呵 ! 
所 以 底下 我 们 要 


来 谈 一 谈 几 个 NFS 客户 端的 课题 。 
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13.3.1 手动 挂 载 NFS 服务 器 分 享 的 资源 
0 NFS 服务 器 所 提供 的 文件 系统 呢 ? 基本 上 ， 可 以 这 样 
故 : 


1. 确认 本 地 端 已 经 启动 了 rpcbind 服务 ! 

2. 扫 瞄 NFS 服务 器 分 享 的 目录 有 哪些 ， 并 了 解 我 们 是 否 可 以 使 用 
(showmount); 

3. 在 本 地 端 建立 预计 要 挂 载 的 挂 载 点 目录 (mkdinD; 

4. 利用 mount 将 远程 主机 直接 挂 载 到 相关 目录 。 

好 ， 现 在 假设 客户 端 在 192.168.100.10 这 部 机 器 上 ， 而 服务 器 是 


192.168.100.254 ， 那么 赶紧 来 检查 一 下 我 们 是 否 已 经 有 rpcbind 的 局 
动 ， 另 外 远程 


主机 有 什么 可 用 的 目录 呢 ! 
#1. 启动 必 备 的 服务 : 在 没 有 局 动 才 局 动 ， 有 局 动 则 保持 原样 不 动 。 














[root@clientlinux ~]# /etc/init.d/rpcbind start 
[root@clientlinux ~]# /etc/init.d/nfslock start 


# 一 般 来 说 ， 系 统 默 认 会 启动 rpcbind ， 不 过 鸟 哥 之 前 关闭 过 ， 所 以 要 


启动 
# 另外 ， 如 果 服 务 器 端 有 启动 nfslock 的 话 ， 客 户 端 也 要 启动 才能 生效 ! 
# 2. 查询 服务 器 提供 哪些 资源 给 我 们 使 用 呢 ? 


[root@clientlinux ~]# showmount -e 192.168.100.254 


Export list for 192.168.100.254: 

/tmp * 

/home/linux *.centos.vbird 

/home/test 192.168.100.10 

/home/public (everyone) <== 这 是 等 一 下 我 们 要 挂 载 的 目录 


接 下 来 我 想 要 将 远程 主机 的 /home/public 挂 载 到 本 地 端 主机 的 
/home/nfs/public ， 


所 以 我 就 得 要 在 本 地 端 主机 先 建立 起 这 个 挂 载 点 目录 才 行 啊 ! 然后 就 可 
以 用 mount 这 


个 指令 直接 挂 载 NFS 的 文件 系统 嘿 ! 

# 3. 建立 挂 载 点 ， 并 且 实 际 挂 载 看 看 吃 ! 

[root@clientlinux ~]# mkdir -p /home/nfs/public 

[root@clientlinux ~]# mount -tnfs 192.168.100.254:/home/public \ 
> /home/nfs/public 

# 注意 一 下 挂 载 的 语法 ! 『 -tnfs 」 指 定 文件 系统 类 型 ， 


# IP:/dir 则 是 指定 某 一 部 主机 的 某 个 提供 的 目录 ! 另外 ， 如 果 出 现 如 下 
错误 : 








mount: 192.168.100.254:/home/public failed, reason given by server: No 
such file 
or directory 


这 代表 你 在 Server 上 面 并 没有 建 六 /home/public 啤 ! 


自己 在 服务 器 端 建 
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0 
六 他 吧 ! 
#4. 总 是 得 要 看 看 挂 载 之 后 的 情况 如 何 ， 可 以 使 用 df 或 mount 啦 ! 





[root@clientlinux ~]# df 
文件 系统 1K- 区 段 已 用 可 用 已 用 % 挂 载 点 
.…( 中 间 省 略 ).…. 


192.168.100.254:/home/public 





7104640 143104 6607104 3% 
/home/nfs/public 


先 注意 一 下 挂 载 NFS 档案 的 格式 范例 咀 ! 呵呵 ! 这 样 就 可 以 将 数据 挂 
载 进来 啦 ! 请 注 


意 喔 ! 以 后 ， 只 要 你 进入 你 的 目录 。 /home/nfs/public ”就 等 于 到 了 
192.168.100.254 


那 部 远程 主机 的 home/public 那个 目录 中 哎 ! 很 不 错 吧 ! 至 于 你 在 该 目 
录 下 有 什么 权 


限 ? 那 就 请 你 回去 前 一 小 节 查 一 查 权限 的 思考 吧 ! 和 人! 那么 如 何 将 挂 
载 的 NFS 目 


录 凶 除 呢 ?就 使 用 umount 啊 ! 








[root@clientlinux ~]# umount /home/nfs/public 


13.3.2 客户 端 可 处 理 的 挂 载 参数 与 开机 挂 载 


瞧 ! 客户 端的 挂 载 工作 很 简单 吧 ! 不 过 不 晓得 你 有 没有 想 过 ， 如 果 你 刚 
刚 挂 载 到 本 


机 /home/nfs/public 的 文件 系统 当中 ， 含 有 一 文 script ， 且 这 文 script 的 
内 容 为 


[rm -rf / 」 且 该 档案 权限 为 555 ， 天 寿 一 如 果 你 因为 好 奇 给 他 执行 下 
去 ， 可 有 的 


你 受 的 了 一 因为 整个 系统 都 会 被 杀 光 光 ! 真 可 怜 ! 
所 以 说 ， 除 了 NFS 服务 器 需要 保护 之 外 ， 我 们 取 用 人 家 的 NFS 文件 系 


统 也 需要 上 自 


我 保护 才 行 啊 ! ” 那 要 如 何 自 我 保护 啊 ? 可 以 透 过 mount 的 指令 参数 
孟 ! 包括 底下 这 些 


主要 的 参数 可 以 尝试 加 入 : 

系统 默认 

参数 

参数 代表 意义 

值 

晓得 喻 是 SUID 吧 ? 如 果 挂 载 的 partition 上 面 有 任何 SUID 

的 binary 程序 时 ， 你 只 要 使 用 nosuid 就 能 够 取消 SUID 的 

suid 功能 了 ! 嘎 ? 不 知道 什么 是 SUID ? 那 就 不 要 学 人 家 架 站 嘛 ! 





suid 
nosuid @ @! 站 


资源 管理 啦 ! 











rw 
你 可 以 指定 该 文件 系统 是 只 读 (ro) 或 可 擦 写 喔 ! 服务 此 可 以 

rw 

ro 

提供 给 你 可 探 写 ， 但 是 客户 端 可 以 仅 允 许 只 读 的 参数 设 定 值 ! 
dev 是 人 否 可 以 保留 闭 置 档案 的 特殊 功能 ?” 一般 来 说 只 有 /dev 这 个 











dev 
nodev 目录 才 会 有 特殊 的 闭 置 ， 因 此 你 可 以 选择 nodev 喔 ! 
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exec 是 否 具 有 执行 binary file 的 权限 ? 如 果 你 想 要 挂 载 的 仅 是 





exec 
noexec 数据 区 (例如 /home)， 那 么 可 以 选择 noexec 啊 ! 

user 是 否 允 许 用 户 进行 档案 的 挂 载 与 和 抒 除 功能 ? 如 果 要 保护 文件 
nouser 

nouser 系统 ， 最 好 不 要 提供 使 用 者 进行 挂 载 与 抒 除 吧 ! 

auto 这 个 auto 指 的 是 『mount -aj 时 ， 会 不 会 被 挂 载 的 项 目 。 如 
auto 

noauto 果 你 不 需要 这 个 partition 随时 被 挂 载 ， 可 以 设 定 为 noauto。 


一 般 来 说 ， 如 果 你 的 NFS 服务 器 所 提供 的 只 是 类 似 home 奔 下 的 个 人 
资料 ， 应 


该 不 需要 可 执行 、SUID 与 装置 档案 ， 因 此 当 你 在 挂 载 的 时 候 ， 可 以 这 








样 下 达 指 令 喔 : 

[root@clientlinux ~]# umount /home/nfs/public 
[root@clientlinux ~]# mount -t nfs -o nosuid,noexec,nodev,rw \ 
> 192.168.100.254:/home/public /home/nfs/public 
[root@clientlinux ~]# mount | grep addr 
192.168.100.254:/home/public on /home/nfs/public type nfs 
(rw,noexec,nosuid, 
nodev,vers=4,addr=192.168.100.254,clientaddr=192.168.100.10) 


必 生 一 来 你 启 全 我 的 这 ZX 个 文件 系统 就 只 能 作为 资料 存 取 之 用 ， 相 对 来 


比较 安全 一 些 的 。 所 以 说 ， 这 个 nosuid, noexec, nodev 等 等 的 参数 可 得 
记得 啊 ! 





关于 NFS 特殊 的 挂 载 参数 


除了 上 述 的 mount 参数 之 外 ， 其 实 针 对 NFS 服务器， 咱们 的 Linux 还 
提供 不 少 


有 用 的 额外 参数 喔 ! 这 些 特殊 参数 还 非 第 有 用 呢 ! ”为 什么 呢 ? 举 例 来 
说 ， 由 于 文件 系 


统 对 Linux 是 非常 重要 的 东西 ， 因 为 我 们 进行 任何 动作 时 ， 只 要 有 用 到 
文件 系统 ， 那 


么 整个 目录 树 系统 就 会 主动 的 去 查询 全 部 的 挂 载 点 。 如 果 你 的 NFS 服 
务 右 与 客户 剖 之 


间 的 联机 因为 网 络 问题 ， ”或 者 是 服务 器 问 先 关机 了 ， 却 没有 通知 客户 


端 ， 那 么 客户 端 


只 要 动 到 文件 系统 的 指令 (例如 df, ls, cp 等 等 ) ， 整 个 系统 就 会 慢 到 爆 ! 
因为 你 必 


须要 等 到 文件 系统 搜寻 等 待 逾 时 后 ， 系 统 才 会 馈 了 你 ! ( 鸟 哥 等 过 df 指 
令 30 分 钟 


过 .…) 

为 了 避免 这 些 困 扰 ， 我 们 还 有 一 些 额 外 的 NFS 挂 载 参数 可 用 ! 例如 : 
参数 

参数 功能 

预 设 参数 

fg 

当 执 行 挂 载 时 ， 该 挂 载 的 行为 会 在 前 景 (fg) 还 是 在 背景 

fg 

bg 

(bg) 执行 ? 若 在 前 景 执行 时 ， 则 mount 会 持续 尝试 挂 载 ， 
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直到 成 功 或 time out 为 止 ， 寿 为 背景 执行 ， 则 mount 会 


在 背景 持续 多 次 进行 mount ， 而 不 会 影响 到 前 景 的 程序 操 


作 。 如 果 你 的 网 络 联机 有 点 不 稳定 ， 或 是 服务 器 冲冲 需要 开 

关机 ， 那 建议 使 用 bg 比较 妥当 。 

如 打 是 hard 的 情况 ， 则 当 两 者 之 间 有 任何 一 部 主机 脱 机 ， 

则 RPC 会 持续 的 呼叫 ， 直 到 对 方 恢复 联机 为 止 。 如 果 是 soft 

soft 的 话 ， 那 RPC 会 在 time out 后 [重复] 呼叫， 而 非 『 持 续 」 hard 
hard 呼叫 ， 因此 系统 的 延迟 会 比较 不 这 么 明显 。 同 上 ， 如 果 你 的 
服务 器 可 能 开 开 关头 ， 建 议 用 soft 喔 ! 

当 你 使 用 上 头 提 到 的 hard 方式 挂 载 时 ， 重 加 上 intr 这 个 

intr 参数 ， 则 当 RPC 持续 呼叫 中 ， 该 次 的 呼叫 是 可 以 被 中 断 的 


没有 








(interrupted). 
读 出 (rsize) 与 写 入 (wsize) 的 区 块 大 小 (block size)。 这 

个 设 定 值 可 以 影响 客户 端 与 服务 器 端 传输 数据 的 缓冲 记忆 容 
量 。 一 般 来 说 ， 如 果 在 局 域 网 络 内 (LAN) ， 并 且 客 户 端 与 





rsize 
rsize=1024 

服务 器 端 都 具有 足够 的 内 存 ， 那 这 个 值 可 以 设 定 大 一 点， 比 
wsize 

wsize=1024 


如 说 32768 (bytes) 等 ， 提 升 缓冲 记忆 区 块 将 可 提升 NFS 文 








件 系统 的 传输 能 力 ! 但 要 注意 设 定 的 值 也 不 要 太 大 ， 最 好 是 
达到 网 络 能 够 传输 的 最 大 值 为 限 。 
更 多 的 参数 可 以 参考 man nfs 的 输出 数据 喔 ! 通 徊 如 果 你 的 NFS 是 用 


在 局 速 运 

作 的 环境 当中 的 话 ， 那 么 可 以 建议 加 上 这 些 参数 的 说 : 
[root@clientlinux ~]# umount /home/nfs/public 
[root@clientlinux ~]# mount -t nfs -o nosuid,noexec,nodev,rw \ 
> -0 bg,soft,rsize=32768,wsize=32768 \ 

> 192.168.100.254:/home/public /home/nfs/public 


则 当 你 的 ”192.168.100.254 ”这 部 服务 器 因为 菏 些 因素 而 脱 机 时 ， 你 的 
NFS 可 以 继续 在 


背景 当中 重复 的 呼叫 ! 直到 NFS 服务 器 再 度 上 线 为 止 。 这 对 于 系统 的 
持续 操作 还 是 有 


帮助 的 啦 ! 当然 啦 ， 那 个 rsize 与 wsize 的 大 小 则 需要 依据 你 的 实际 网 
络 环境 而 定 


喔 ! 





Tips: 

在 鸟 哥 的 实际 案例 中 ， 某 些 大 型 的 模式 运算 并 不 允许 soft 这 个 参 
数 喔 ! 举例 来 说 ， 乌 哥 惯用 的 CMAQ 空气 质量 模式 ， 这 个 模式 的 从 
集 架 构 分 孚 文件 系统 中 ， 就 不 允许 使 用 soft 参数 ! 这 点 需要 特别 


留意 喔 ! 
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将 NFS 开机 即 挂 载 


我 们 知道 开机 束 挂 载 的 挂 载 点 与 相关 参数 是 写 入 /etcfstab 中 的 ， 那 
NEFS 能 不 


能 写 入 /etc/fstab 当中 呢 ? 非常 可 惜 的 是 ， 不 可 以 呢 ! 为 喻 昵 ? 分 析 一 
下 开机 的 流 


程 ， 我 们 可 以 发 现 网 络 的 启动 是 在 本 机 挂 载 之 后 ， 因 此 当 你 利用 
/etc/fstab 尝试 挂 载 


NFS 时 ， 系 统 由 于 尚未 启动 网 络 ， 所 以 肯定 是 无 法 挂 载 成 功 的 啦 ! 那 怎 
办 ? 简单 ! 就 写 


入 /etc/rc.d/rc.local 即 可 ! 





[root@clientlinux ~]# vim /etc/rc.d/rc.local 

mount -t nfs -o 
nosuid,noexec,nodev,rw,bg,soft,rsize=32768,wsize=32768 \ 
192.168.100.254:/home/public /home/nfs/public 

13.3.3 无 法 挂 载 的 原因 分 析 


如 有 果 客 户 问 束 是 无 法 挂 载 服 务 器 端 所 分 至 的 目录 时 ， 到 后 是 发 生 什么 问 
题 ? 你 可 以 


这 样 分 析 看 看 : 


客户 端的 主机 名 或 卫 网 段 不 被 允许 使 用 : 


以 上 面 的 例子 来 说 明 ， 我 的 /home/test 只 能 提供 192.168.100.0/24 这 个 网 


域 


NN 


所 以 如 果 我 在 192.168.100.254 这 部 服务 器 中 ， 以 localhost (127.0.0.1) 来 
挂 载 时 ， 


就 会 无 法 挂 载 上 ， 这 个 权限 概念 没 问题 吧 ! 不 然 你 可 以 在 服务 器 上 试 斌 
: 


[root@wWwww ~]# mount -t nfs localhost:/home/test /mnt 
mount.nfs: access denied by server while mounting localhost:/home/test 


看 到 access denied 了 吧 ? 没 错 啦 一 权限 不 符 啦 ! 如 果 确 定 你 的 IP 没有 
错误 ， 那 么 


请 通知 服务 器 端 ， 请 管理 员 将 你 的 卫 加 入 /etc/exports 这 个 档案 中 。 


服务 器 或 客户 端 东 些 服务 未 月 动 : 


这 个 最 容易 被 忘记 了 ! 就 是 筷 记 了 月 动 rpcbind 这 个 服务 啦 ! 如 果 你 在 
客户 端 发 


现 mount 的 讯息 是 这 样 : 





[root@clientlinux ~]# mount -t nfs 192.168.100.254:/home/test /mnt 
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mount: mount to NFS server '192.168.100.254' failed: System Error: 
Connection refused. 


# 如 果 你 使 用 ping 却 友 现 网 络 与 服务 器 部 是 好 的 ， 那 么 这 个 问题 就 是 


rpcbind 没有 开 啦 ! 


[root@clientlinux ~]# mount -t nfs 192.168.100.254:/home/test 
/home/nfs 


mount: mount to NFS server '192.168.100.254' failed: RPC Error: Program 
not registered. 


0 确实 有 连 上 RPC ， 但 是 服务 器 的 RPC 告知 我 
门 ， 该 


程序 无 注册 


要 啊 束 是 rpcbind 起 记 开 (第 一 个 错误 )， 要 啊 束 是 服务 器 端的 nfs 和 态 记 
开 。 最 矿 烦 


的 是 ， 重新 启动 了 rpcbind 但 是 却 忘记 重新 启动 其 他 服务 (上 述 第 二 个 
错误 )! 解决 


的 方法 就 是 去 重新 启动 rpcbind 管理 的 其 他 所 有 服务 就 是 了 ! 








被 防火 增 档 摊 了 : 


由 于 NFS 几乎 不 对 外 开放 ， 而 内 部 网 域 义 通 常 是 全 部 的 资源 都 放行 ， 
因此 过 去 玩 


的 朋友 (包括 乌 哥 本 人 啦 ! ) 都 没有 注意 过 NFS 的 防火 墙 问 题 。 最 
这 几 年 鸟 哥 


在 管理 计算 机 教室 时 ， 有 掌管 一 部 计算 机 教室 主 控 防火 墙 ， ”为 了 担心 
太 历 害 的 学 生 给 


鸟 哥 乱 搞 ， 因 此 该 Linux 防火 墙 预 设 是 仅 放行 部 分 资源 而 已 。 但 由 于 计 
算 机 教室 的 区 


网 内 需要 用 到 Linux 的 NFS 资源 ， 结 果 呢 ? 竟然 没 办 法 放行 啊 ! 原来 
就 是 iptables 














没有 放行 NFS 所 使 用 到 的 塌 口 一 


所 以 ， 当 你 一 直 无 法 顺利 的 连接 NFS 服务 器 ， 请 先 到 服务 器 端 ， 将 客 
户 端的 正 完 


全 放行 ， 知 确定 这 样 就 连 的 上 ，” 那 代 表 就 是 防火 场 有 问题 啦 ! 怎么 解 
决 呢 ? 上 一 小 市 


介绍 过 了 ， 参 考 将 NFS 服务 器 埋 口 固定 的 方式 吧 ! 
13.3.4 目 动 挂 载 autofs 的 使 用 


在 一 般 NFS 文件 系统 的 使 用 情况 中 ， 如 果 客 户 端 要 使 用 服务 器 端 所 提 
供 的 NFS 文 


件 系统 时 ， 要 嘛 就 是 得 在 /etcirc.dirclocal 当中 设 定 开机 时 挂 载 ， 要 中 就 
得 要 登入 


系统 后 手动 利用 mount 来 挂 载 。 此 外 ， 客 户 端 得 要 预先 手动 的 建立 好 
挂 载 点 目录 ， 然 


后 挂 载 上 来 。 但 是 这 样 的 使 用 情况 恐 伯 有 点 小 问题 。 





NFS 文件 系统 与 网 络 联机 的 困扰 : 
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NFS client 中 





指向 NFS server 















192.168,100.254: /home /public 
g 192.168.100.254: /home/test 
192.168 .100.254: /tmp 









我 们 知道 NFS 服务 融 与 客户 端的 联机 或 许 不 会 永远 存在 ， 而 RPC 这 个 
服务 又 挺 讨 


厌 的 ， 如 宁 挂 载 NFS 服务 器 后 ， 任 何 一 方 脱 机 都 可 能 造成 为 外 一 方 


老 是 在 等 待 逾 时 一 


而 且 ， 挂 载 的 ”NFS 文件 系统 可 能 义 不 古 常常 被 使 用 ， 但 大 不 挂 载 的 
话 ， 有 时 候 紧急 要 


使 用 时 又 得 通知 系统 管理 员 ， ”这 又 很 不 方便 ... 啊 ! 好 讨厌 的 感觉 啊 一 
@_@ 


所 以 ， 让 我 们 换个 思考 的 角度 来 讨论 一 下 使 用 NFS 的 情境 : 


和 
盘 ? 


5 NFS 文件 系统 使 用 完毕 后 ， 可 不 可 以 让 NFS 自动 针 除 ， 以 避免 可 
能 的 


RPC 错误 ? 


如 果 能 达到 上 述 的 功能 ， 那 就 太 完 美 啦 ! 有 没有 这 东西 呢 ? 有 的 ， 在 现 
在 的 Linux 


环境 下 这 是 可 以 达成 的 理想 ! 用 的 就 是 autofs 这 个 服务 啦 ! 


autofs 的 设 定 概念 : 


autofs 这 个 服务 在 客户 端 计算 机 上 面 ， 会 持续 的 侦 测 某 个 指定 的 目录 ， 
并 预先 设 

定 当 使 用 到 该 目录 下 的 茶 个 次 目录 时 ， 将 会 取得 来 目 服务 器 端的 ”NEFS 
文件 系统 资源 ， 

并 进行 自动 挂 载 的 动作 。  ” 讲 这 样 或 许 你 有 点 模糊 ， 让 我 们 拿 底 下 这 个 
图 示 来 看 看 : 





图 13.3-1、autofs 自动 挂 载 的 配置 文件 内 容 示 意图 


如 上 图 所 示 ， 我 们 的 autofs 主要 配置 文件 为 /etc/auto.master， 这 个 档案 
的 内 


容 很 简单 ， 如 上 所 示 ， 我 只 要 定义 出 最 上 层 目 录 (homemnfsfile) 即 可 ， 
这 个 目录 就 


是 autofs 会 一 直 持 续 侦 测 的 目录 啦 。 至 于 后 续 的 档案 则 是 该 目录 底下 各 
次 目录 的 对 


应 。 在 /etc/auto.nfs (这 个 档案 的 档 名 可 上 自 定义 ) 里 面 则 可 以 定义 出 每 个 
次 目录 所 欲 


挂 载 的 远程 服务 器 的 NFS 目录 资源 ! 
人 『 当 我 们 在 客户 端 要 使 用 /home/nfsfile/public 的 数据 时 ， 此 
床 














autofs 才 会 去 192.168.100.254 服务 器 上 挂 载 /home/public ! 」 有 日 『 当 隔 
.ST 


钟 没有 使 用 该 目录 下 的 数据 后 ， 则 客户 病 系 统 将 会 主动 的 凶 除 
/home/nfsfile/public 」 。 
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很 不 错 用 的 一 个 工具 吧 ! 因为 有 用 到 服务 器 的 数据 时 才 目 动 挂 载 ， 没 有 
使 用 了 束 会 


自动 抒 除 ! ”而 不 是 传统 的 情况 一 直 是 挂 载 的 ! 既然 这 么 好 用 ， 那 就 让 
我 们 实际 来 操 演 


一 下 : 


建立 主 配置 文件 /etc/auto.master ， 并 指定 侦 测 的 特定 目录 


这 个 主要 配置 文件 的 内 容 很 简单 ， 只 要 有 要 被 持续 侦 测 的 目录 及 『 数 据 
对 应 文件 ] 


即 可 。 ”那个 数据 对 应 文件 的 文件 名 是 可 以 目 行 设 定 的 ， 在 乌 哥 这 个 例 
子 当 中 我 使 用 


/etc/auto.nfs 来 命名 。 








[root@clientlinux ~]# vim /etc/auto.master 
/home/nfsfile /etc/auto.nfs 


士 述 数 据 中 比较 需要 注意 的 是 ， 那 个 home/nfsfile 目录 不 需要 存在 ， 因 
为 autofs 会 


主动 的 建 并 该 目录 ! ”如果 你 建立 了 ， 可 能 反而 会 出 问题 一 因此 ， 先 确 
定 一 下 设 有 该 目 


录 吧 ! 











建立 数据 对 应 文件 内 (etc/auto.nfs) 的 挂 载 信 息 与 服务 器 对 应 资源 
刚刚 我 们 所 指定 的 etc/autonfs 是 自行 设 定 的 ， 所 以 这 个 档案 是 不 存在 
的 。 那 





么 这 个 档案 的 格式 是 如 何 呢 ? 你 可 以 这 样 看 : 

[本 地 端 次 目录 ] [- 挂 载 参数 ] [服务 器 所 提供 的 目录 ] 

选项 与 参数 : 

[本 地 端 次 目录 ] : 指 的 就 是 在 /etc/auto.master 内 指定 的 目录 之 次 目录 
[- 挂 载 参数 ] : 就 是 前 一 小 节 提 到 的 rw,bg,soft 等 等 的 参数 啦 ! 可 有 可 
无 ; 


[服务 器 所 提供 的 目录 ] : 例如 192.168.100.254:/home/public 等 
[root@clientlinux ~]# vim /etc/auto.nfs 

public -rw,bg,soft,rsize=32768,wsize=32768 
192.168.100.254:/home/public 

testing -rw,bg,soft,rsize=32768,wsize=32768 
192.168.100.254:/home/test 

temp -rw,bg,sotft,rsize=32768,wsize=32768 192.168.100.254:/tmp 
# 参数 部 分 ， 只 要 最 前 面 加 个 - 符号 即 可 ! 
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这 样 束 可 以 建立 对 应 了 ! 要 注意 的 是 ， 那 些 /home/nfsfile/public 是 不 需 
要 事先 建立 


的 ! 咱们 的 autofs 会 事情 况 来 处 理 喔 ! 好 了 ， 接 下 来 让 我 们 看 看 如 何 实 
际 运作 吧 ! 


实际 运作 与 观察 


配置 文件 设 定 受 当 后 ， 当 然 就 是 要 局 动 autofs 啦 ! 





[root@clientlinux ~]# /etc/init.d/autofs stop 

[root@clientlinux ~]# /etc/init.d/autofs start 

# 很 奇怪 ! 非常 怪 ! CentOS 6.x 的 autofs 使 用 restart 会 失效 ! 所 以 乌 哥 
才 进 行 两 次 

假设 你 目前 并 没有 挂 载 任何 来 自 192.168.100.254 这 部 NFS 服务 器 的 资 





源 目录 。 好 了 ， 


那 让 我 们 实际 来 观察 看 看 儿 个 重要 的 数据 吧 ! 先 看 看 /home/nfsfile 会 不 
会 主动 的 被 


建立 ? 然后 ， 如 果 我 要 进入 /home/nfsfile/public 时 ， 文 件 系统 会 如 何 变 
化 呢 ? 


[root@clientlinux ~]#1 -d /home/nfsfile 
drwxr-xr-x. 2 root root 0 2011-07-28 00:07 /home/nfsfile 


# 仔细 看 ， 你 会 发 现 /home/nfsfile 容量 是 0 喔 ! 那 是 正常 的 ! 因为 是 


autofs 

建立 的 

[root@clientlinux ~]# cd /home/nfsfile/public 

[root@clientlinux publicl# mount | grep nfsfile 
192.168.100.254:/home/public on /home/nfsfile/public type nfs 
(rw,soft,rsize=32768, 
wsize=32768,sloppy,vers=4,addr=192.168.100.254,clientaddr=192.168.100.1 


ey 了 ! 瞧 ! 突然 出 现 这 个 玩意 儿 ! 因为 是 自动 挂 载 的 
啊 ! 


[root@clientlinux public]# df /home/nfsfile/public 
文件 系统 1K- 区 段 已 用 可 用 已 用 % 挂 载 点 


192.168.100.254:/home/public 





7104640 143104 6607040 3% 


/home/nfsfile/public 


# 档案 的 挂 载 也 出 现 没 错 ! 


呵呵 ! 真是 好 啊 ! 如 此 一 来 ， 如 果真 的 有 需要 用 到 该 目录 时 ， 系 统 才 会 
去 相对 的 服务 絮 


上 面 挂 载 ! 唇 是 一 阵子 没有 使 用 ， 那 么 该 目录 束 会 修 凶 除 呢 ! 这 样 就 
减少 了 很 多 不 必 


要 的 使 用 时 机 啦 ! 还 不 错 用 吧 ! 人 和信 
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13.4 案例 演练 


让 我 们 来 做 个 实际 演练 ， 在 练习 之 前 ， 请 将 服务 右 的 ”NFS 设 定数 据 都 


清除 ， 但 是 


保留 rpcbind 不 可 关闭 。 至 于 客户 端的 环境 下 ， 先 关 闭 autofs 以 及 取消 
之 前 在 


/etc/rc.d/rc.local 里 面 写 入 的 开机 自动 挂 载 项 目 。 同 时 删除 /home/nfs 目 
录 哟 ! 接 


下 来 请 看 看 我 们 要 处 理 的 环境 为 何 : 

模拟 的 环境 状态 中 ， 服 务 器 端的 想法 如 下 : 

1. 假设 服务 器 的 卫 为 192.168.100.254 这 一 部 ，; 

2. /tmp 分 享 为 可 擦 写 ， 并 且 不 限制 使 用 者 身份 的 方式 ， 分 享 给 所 有 
192.168.100.0/24 这 个 网 域 中 的 所 有 计算 机 ; 

3. /home/nfs 分享 的 属性 为 只 读 ， 可 提供 除了 网 域内 的 工作 站 外 ， 向 


Internet 


亦 提 供 数 据 内 容 ; 





4./home/upload 做 为 192.168.100.0/24 这 个 网 域 的 数据 上 传 目 录 ， 其 


?9 


这 个 /home/upload 的 使 用 者 及 所 属 群 组 为 nfs-upload 这 个 名 字 ， 他 的 
UID 


与 GID 均 为 210; 


5. /home/andy 这 个 目录 仅 分 享 给 192.168.100.10 这 部 主机 ， 以 提供 该 主 
机 


上 面 andy 这 个 用 户 来 使 用 ， 也 就 是 说 ， andy 在 192.168.100.10 及 


192.168.100.254 。 ” 均 有 账号 ， 且 账号 均 为 ”andy  ”， 所 以 预计 开放 
/home/andy 给 


andy 使 用 他 的 家 目录 啦 ! 
服务 器 端 设 定 的 实地 演练 : 


好 了 ， 那 么 请 你 先 不 要 看 底下 的 答案 ， 先 目 己 动笔 或 者 直接 在 目 己 的 机 
器 上 面 动手 


作 作 看 ， 等 到 得 到 你 要 的 答案 之 后 ， 再 看 底下 的 说 明 吧 ! 


1. 首先 ， 束 是 要 建立 /etc/exports 这 个 档案 的 内 容 蚁 ， 你 可 以 这 样 写 吧 ! 








[root@www ~]# vim /etc/exports 

/tmp 192.168.100.0/24(rw,no_root_squash) 

/home/nfs 192.168.100.0/24(ro) *(ro,all_squash) 
/home/upload 
192.168.100.0/24(rw,all_squash,anonuid=210,anongid=210) 


/home/andy 192.168.100.10(rw) 
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2. 再 来 ， 就 是 要 建立 每 个 对 应 的 目录 的 实际 Linux 权限 了 ! 我 们 一 个 一 
个 来 


看 : 


#1. /tmp 





[root@www ~]#1 -d /tmp 

drwxrwxrwt. 12 root root 4096 2011-07-27 23:49 /tmp 
# 2. /home/nfs 

[root@www ~]# mkdir -p /home/nfs 

[root@www ~]# chmod 755 -R /home/nfs 


# ”修改 较为 严格 的 档 采 权限 将 目录 与 档案 设 定 成 只 读 ! 不 能 写 入 的 状 


A 


保险 一 点 ! 


#3. /home/upload 





[root@www ~]# groupadd -g 210 nfs-upload 

[root@www ~]# useradd -g 210 -u 210 -M nfs-upload 

# 先 建 并 对 应 的 账号 与 组 名 及 UID 喔 ! 

[root@www ~]# mkdir -p /home/upload 

[root@www ~]# chown -R nfs-upload:nfs-upload /home/upload 
# 修改 拥有 者 ! 如 此 ， 则 用 户 与 目录 的 权限 都 设 定 受 当 哆 ! 


#4. /home/andy 








[root@www ~]# useradd andy 

[root@www ~]#1 -d /home/andy 

drwXx------ .4 andy andy 4096 2011-07-28 00:15 /home/andy 
这 样子 一 来 ， 权 限 的 问题 大 概 就 可 以 解决 哆 ! 

3. 重新 启动 nfs 服务 : 

[root@www ~]# /etc/init.d/nfs restart 

4. 在 192.168.100.10 这 部 机 器 上 面 演练 一 下 : 

# 工 . 确认 远程 服务 器 的 可 用 目录 : 
[root@clientlinux ~]# showmount -e 192.168.100.254 
Export list for 192.168.100.254: 

/home/andy 192.168.100.10 
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0 


/home/upload 192.168.100.0/24 

/home/nfs (everyone) 

/tmp 192.168.100.0/24 

# 2. 建立 挂 载 点 : 

[root@clientlinux ~]# mkdir -p /mnt/{tmp,nfs,upload,andy} 
# 3. 实际 挂 载 : 


[root@clientlinux ~]# mount -tnfs 192.168.100.254:/tmp 


/mnt/tmp 

[root@clientlinux ~]# mount -t nfs 192.168.100.254:/home/nfs 
/mnt/nfs 

[root@clientlinux ~]# mount -t nfs 192.168.100.254:/home/upload 
/mnt/upload 

[root@clientlinux ~]# mount -t nfs 192.168.100.254:/home/andy 
/mnt/andy 

整个 步骤 大 致 上 就 是 这 样 响 ! 加 油 喔 ! 

13.5 重点 回顾 


Network FileSystem (NFS) 可 以 让 主机 之 间 透 过 网 络 分 享 彼此 的 档案 
与 目 


未 ; 


NFS 主要 是 透 过 RPC 来 进行 包 e share 的 目的 ， 所 以 Server 与 Client 





的 RPC 一 定 要 启动 才 行 ! 

NFS 的 配置 文件 就 是 /etc/exports 这 个 档案 ; 

NFS 的 权限 可 以 观察 /var/ib/nfs/etab， 至 于 的 重要 登录 档 可 以 参考 
/Var/lib/nfs/xtab 这 个 档案 ， 还 包含 相当 多 有 用 的 信息 在 其 中 ! 


; NFS 服务 器 与 客户 端的 使 用 者 账号 名 称 、UID 最 好 要 一 致 ， 可 以 避免 
又 限 错 


乱 : 
NFS 服务 器 预 设 对 客户 端的 root 进行 权限 压缩 ， 通 常 压缩 其 成 为 





nfsnobody 或 nobody。 
NFS 服务 器 在 更 动 /etc/exports 这 个 档案 之 后 ， 可 以 透 过 exportfs 这 个 
虽 令 来 重新 挂 载 分 享 的 目录 ! 
可 以 使 用 rpcinfo 来 观察 RPC program 之 间 的 关系 ! ! ! 


NFS 服务 器 在 设 定之 初 ， 束 必须 要 考虑 到 client 问 登 入 的 权限 问题 ， 
很 多 


时 候 无 法 写 入 或 者 无 法 进行 分 享 ， 主 要 是 Linux 实体 档案 的 权限 设 定 问 
题 所 致 ! 


NFS 客户 端 可 以 透 过 使 用 showmount, mount 与 umount 来 使 用 NFS 
主机 


提供 的 分 享 的 目录 ! 
NFS 亦 可 以 使 用 挂 载 参 数 ， 如 bg, soft, rsize, wsize, nosuid, noexec， 
nodev 等 参数 ， 来 达到 保护 自己 文件 系统 的 目标 ! 
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0 


目 动 挂 载 的 autofs 服务 可 以 在 客户 端 需 要 NFS 服务 器 提供 的 资源 时 
挂 


载 。 

13.6 本 章 习 题 

NFS 的 主要 配置 文件 为 何 ” 而 在 该 档案 内 主要 设 定 项 目 为 何 ? 
主要 的 配置 文件 为 /etc/exports 而 至 于 其 设 定 的 内 容 项 目 在 每 一 行当 中 
则 为 : 





1. 分 享 的 目录 
2. 针对 此 分 至 目录 开放 的 主机 或 IP 或 网 域 
3. 针对 这 部 主机 所 开放 的 权限 参数 ! 


在 人 主要 的 配置 文件 当中 仅 有 少许 的 参数 说 明 ， 人 至 于 预 设 的 参数 
说 明 见 


人 请 问 ， 如 果 要 但 阅 更 详细 的 分 至 出 来 的 档案 


要 看 那个 档案 ? 
/var/lib/nfs/etab 

在 client 端 如 果 要 挂 载 NFS 所 提供 分 享 的 档案 ， 可 以 使 用 那个 指令 ? 
那 自然 就 是 mount 啦 ! 还 有 御 除 是 umount 喔 ! 

在 NFS 主要 配置 文件 当中 ， 可 以 透 过 那个 参数 来 控制 不 让 client 端 以 
root 的 身份 使 用 你 所 分 享 出 来 的 目录 与 档案 ? 
可 以 在 /etc/exports 当中 的 参数 项 目 ， 设 定 『 root_squash 」 来 控制 压 
缩 root 的 身份 喔 ! 

我 在 client 端 挂 载 了 NEFS Server 的 某 个 目录 在 我 的 /home/data 底下 ， 


当 我 执行 其 中 茶 个 程序 时 ， 却 发 现 我 的 系统 被 破坏 了 ? 你 认为 可 能 的 原 
因为 何 ? 


该 如 何 殉 服 这 样 的 问题 ， 尤 其 是 当 我 的 Client 端 主机 其 实 是 多 人 共 孚 的 


环境 ， 
怕 其 他 的 使 用 者 也 同样 发 生 类 似 的 问题 呢 ? ! 
o 可 能 由 于 你 挂 载 进来 的 NFS Server 的 partition 当中 具有 SUID 














0 而 你 不 小 心 使 用 了 该 执行 档 ， 因 此 就 可 能 会 发 生 系 统 被 破 
不 


的 问题 了 ! 
o 可 以 将 挂 载 进来 的 NFS 目录 的 SUID 功能 取消 ! 例如 : 
o 可 能 由 于 你 挂 载 进 来 的 NFS Server 的 partition 当中 具有 SUID 


ps 而 你 不 小 心 使 用 了 该 执行 档 ， 因 此 就 可 能 会 发 生 系统 被 破 
不 


的 问题 了 ! 
0 可 以 将 挂 载 进 来 的 NFS 目录 的 SUID 功能 取消 ! 例如 : 
mount -t nfs -o nosuid,ro server:/directory /your/directory 
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13.7 参考 数据 与 延伸 阅读 


注 1: Sun ( 升 阳 ) 公司 已 经 被 甲骨 文 (Oracle) 公司 合并 了 ， 因 此 公司 
网 


址 改 于 : 








http://www.oracle.com/us/sun/index.html 
http:/www .faqgs.org/rfcs/rfc1094.html 

鸟 哥 这 里 的 备份 : 

http://Ninux.vbird.org/linux server/0330nfs/0330nfs rpc.html 
http:/www.tldp.org/HOWTO/NFS-HOWTO/index.html 


man exports 

man autofs 

2002/11/17: 第 一 次 完成 

2003/03/09: 修改 部 分 内 容 ， 并 且 新 增 LPI 相关 性 与 重点 整理 部 分 ! 
2003/09/10: 又 重新 修改 版 面 ， 以 及 新 增 主机 的 规划 等 部 分 。 
2006/09/19: 将 旧 的 文章 移动 到 此 处 

2006/09/22: 加 入 了 autofs 等 等 的 数据 喔 ! 


2007/02/27: 原本 rsize 定义 为 8192， 但 最 近 看 一 些 文献 ， 应 该 改 为 
32768 比较 受 








2009/07/04: 在 最 后 的 案例 演练 部 分 ， SS 百 星 号 (*) 的 通配符 ! 
感谢 讨论 区 


2011/03/03: 将 旧 的 基于 CentOS 4.x 的 文章 移动 到 此 处 


2011/03/12: 修订 完成 了 ! 比较 大 的 问题 在 于 nfsnobody 可 能 有 时 并 不 
会 压缩 喔 ! 


2011/07/27: 将 基于 CentOS 5.x 的 文章 移动 到 此 处 
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AAA Pe 59 号 AP 人 全 时 
“ul TTB: NIS 


最 近 更 新 日 期 : 2011/07/28 


有 没有 想 过 ， 如 果 我 有 十 部 ”Linux 主机 ， 这 十 部 主机 仅 负责 不 同 的 功 
能 ， 事 实 上 ， 所 有 的 主机 账号 与 对 


应 的 密码 都 相同 ! ”那么 我 是 将 账号 与 密码 分 别 设 定 置 在 十 部 计算 机 上 
面 ， 还 是 可 以 透 过 一 部 主机 做 为 账 


号 管理 的 功能 ， 然 后 其 他 的 主机 只 要 当 用 户 用 登入 时 ， ”就 必须 要 到 管 
理 账 号 的 主机 上 面 确认 其 账号 与 密 


码 呢 ?7 哪 一 个 比较 方便 而 且 灵 活 ? 当然 是 找 一 个 账号 管理 的 主机 比较 方 
便 的 多 啦 ! 如 果 有 用 户 要 修改 密 


码 ， 不 必要 去 到 十 部 主机 修改 密码 啦 ! 只 要 到 主要 管理 主机 去 修改 ， 其 
他 的 主机 根本 残 不 需要 更 动 ! 哈 


哈 ! 轻松 又 愉快 呢 ! 这 个 功能 的 达成 有 很 多 的 方式 ， 在 这 里 ， 我 们 介 
一 个 很 简单 的 方式 ， 那 就 是 Network 


Information Service 这 个 NIS 服务 器 的 架设 啦 ! 








14.1 NIS 的 由 来 与 功能 





14.1.2 NIS 的 运作 流程 透 过 RPC 


14.2 NIS server 端的 设 定 
14.2.1 所 需要 的 软 
14.2.2 NIS 服务 器 相关 的 配置 文件 


14.2.3 一 个 实 作 案 僧 


14.2.4 NIS master 的 设 定 与 启 去 





14.3 NIS client 端的 设 定 


14.3.1 NIS client 所 需 与 软件 结 松 


14.3.2 NIS client 的 设 定 与 启 去 





: yptest, ypwhich, ypcat 
14.3.4 参数 修改 : asswd, ypchfn, ypchsh 





14.6 课 后 练 二 





14.1 NIS 的 由 来 与 功能 


在 一 个 大 型 的 网 域 当中 ， 如 果 有 多 部 Linux 主机 ， 万 一 要 每 部 主机 都 需 


要 设 定 相 


同 的 账号 与 密码 时 ， 你 该 怎么 办 ? 复制 /etc/passwd ? 应 该 没有 这 么 呆 
吧 ? 如 果 能 够 


有 一 部 账号 主 控 服务 器 来 管理 网 域 中 所 有 主机 的 账号 ，” 当 其 他 的 主机 
有 用 户 登 入 的 需 


求 时 ， 才 到 这 部 主 控 服务 器 上 面 要求 相关 的 账号 、 密 码 等 用 户 信 息 ， 


想 要 增加 、 修 改 、 删 除 用 户 数 据 ， 只 要 到 这 部 主 控 服务 右上 面 处 理 即 
可 ， 这 样 就 能 够 


降低 重复 设 定 使 用 者 账 吕 的 步骤 了 。 
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这 样 的 功能 有 很 多 的 服务 器 软件 可 以 达成 ， 这 里 我 们 要 介绍 的 则 是 
Network 


Information Services (NIS server) 这 个 服务 器 软件 喔 ! 底下 惑 先 来 谈 一 谈 
这 个 NIS 


的 相关 功能 吧 ! 

Tips: 

NIS 主要 提供 的 是 用 户 的 账号 、 密 码 、 家 目录 文件 名 、UID 等 信息 ， 
但 NIS 并 没有 提供 文件 系统 。 同 时 ， NIS 同样 使 用 前 一 章 谈 到 的 
RPC 服务 器 ， 因 此 在 本 章 开始 前 ， 你 还 是 得 要 认识 二 下 第 士 三 章 谈 
到 的 NFS 与 RPC， 同时 你 还 得 要 知道 基础 学 习 篇 第 三 版 里 面 的 第 
上 四 章 账 号 管理 ， 同时 也 得 了 解 一 下 基础 学 习 篇 第 二 十 二 童 


make/Makefile 的 信息 才 好 。 








14.1.1 NIS 的 主要 功能 : 管理 帐户 信息 

通常 我 们 都 会 建议 ， 一 部 Linux 主机 的 功能 越 单 纯 越 好 ， 也 就 是 说 ， 一 
部 Linux 就 

专门 进行 一 项 服务 。 这 样 有 许多 的 好 处 ， 这 包含 功能 单纯 所 以 系统 资源 
得 以 完整 运用 ， 

并 且 在 发 生 入 侵 或 者 是 系统 产生 状况 的 时 候 ， 也 比较 容易 追查 问题 所 
在 。 因 此 ， 一 个 公 











司 内 部 第 常会 有 好 几 部 Linux 主机 ， 有 的 专门 负责 WWW 、 有 的 专门 
负责 Mail “第 的 


荆 


专门 负责 SAMBA 等 等 的 服务 。 


不 过 ， 这 样 虽然 有 分 散 风 险 、 容 易 退 踩 问 题 的 好 处 ， 但 是 ， 由 于 是 同一 
个 公司 内 的 


多 部 主机 ， 所 以 事实 上 所 有 的 Linux 主机 的 账号 与 密码 都 是 一 样 的 ! 
哇 ! 那 如 果 公 司 


里 面 有 100 的 人 的 话 ， 我 们 就 需要 针对 这 么 多 部 的 主机 去 设 定 账 号 密 
码 了 ! 而 且 ， 如 


果 未 来 还 有 新 进 员工 的 话 ， ”那么 光 是 设 定 密码 就 会 使 系统 管理 员 抓 狂 
了 


这 个 时 候 ， 让 我 们 换 一 个 角度 来 思考 : 如 果 我 设计 了 一 部 专门 管理 账号 
与 密码 的 服 


务 句 ， 而 其 他 的 Linux 主机 当 有 客户 端 要 登入 的 时 候 ， 就 必须 要 到 这 部 
管理 密码 的 服 


务 器 来 查寻 用 户 的 账 吕 与 密码 ， 如 此 一 来 ， 我 要 管理 所 有 的 Linux 主机 
的 账号 与 密码 ， 


只 要 到 那 部 主 服务 器 上 面 去 进行 设 定 即 可 ! ”包括 新 进 和 人 员 的 设 定 ， 肥 
正 其 他 的 Linux 


主机 都 是 同 它 查寻 的 嘛 ! 没 错 ! 真是 好 一 这 个 就 是 Network Information 
Service, NIS 


服务 器 的 主要 功能 啦 ! 


事实 上 ，Network Information Service 最 早 应 该 是 称 为 Sun Yellow Pages 
( 简 


称 yp)， 也 就 是 Sun 这 家 公司 出 的 一 个 名 为 Yellow Pages 的 服务 器 软 











件 ， 请 注意 ， 





NIS 与 YP 是 一 模 一 样 的 吃 噬 趴 ! 这 个 Yellow Pages 名 字 取 的 真是 好 ! 
怎么 说 呢 ? 知 


道 黄页 (Yellow Pages) 是 什么 吗 ? 就 是 我 们 家 里 的 电话 短 啦 ! 今天 如 果 
你 要 查寻 一 


家 厂商 的 电话 号 码 ， 通 常 就 是 直接 去 查 黄 页 上 面 的 纪录 来 取得 电话 号 人 码 
响 ! 而 这 个 NIS 





也 一 样 ， 当 使 用 者 要 登入 时 ， Linux 系统 就 会 到 NIS 服务 器 上 面 去 找寻 
这 个 使 用 的 账 


号 与 密码 信息 来 加 以 比 对 ， 以 提供 使 用 者 登入 之 用 的 检验 啊 ! 很 棒 
吧 ! AA 


那么 NIS 服务 器 提供 了 哪些 信息 呢 ? 还 记得 账号 与 密码 放置 在 哪里 吧 ? 
NIS 就 是 


ee 主要 有 底下 这 些 基本 的 数据 提供 给 有 登入 需求 的 主 
儿 喔 : 
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服务 占 病 文件 名 

档 采 内 容 

/etc/passwd 

提供 用 户 账号 、UID、GID、 家 目录 所 在 、Shell 等 等 
/etc/group 


提供 群 组 数据 以 及 GID 的 对 应 ， 还 有 该 群 组 的 加 入 人 员 


/etc/hosts 

主机 名 与 卫 的 对 应 ， 常 用 于 private IP 的 主机 名 对 应 
/etc/services 

每 一 种 服务 (daemons) 所 对 应 的 埠 口 (port number) 
/etc/protocols 

基础 的 TCP/IP 封包 协定 ， 如 TCP, UDP, ICMP 等 
/etc/rpc 

每 种 RPC 服务 器 所 对 应 的 程序 号 码 

/Var/yp/ypservers NIS 服务 器 所 提供 的 数据 库 


至 少 可 以 提供 上 述 这 些 功 能 ， 当 然 啦 ， 你 也 可 以 目 行 定义 哪些 数据 库 需 
有 要， 哪些 数据 库 


不 需要 ! 1 
14.1.2 NIS 的 运作 流程 : 透 过 RPC 服务 


由 于 NIS 服务 器 主要 是 提供 用 户 登 入 的 信息 给 客户 端 主机 来 查询 之 用 ， 
所 以 ， NIS 


服务 器 所 提供 的 数据 当然 就 需要 用 到 传输 与 读 写 比较 快速 的 “数据库 " 
文件 系统 ， 而 


不 是 传统 的 纯 文本 数据 。 为 了 要 达到 这 个 目的 ， 所 以 NIS 服务 器 就 必须 
要 将 前 一 小 节 
提 到 的 那些 档案 制作 成 为 数据 库 档案 ， ”然后 使 用 网 络 协 议 让 客户 端 主 
机 来 查询 嘿 。 至 


于 所 使 用 的 通讯 协议 与 前 一 章 的 NES 相同 ， 都 使 用 远程 过 程 调用 (RPC) 
这 个 玩意 儿 喔 ! 


此 外 ， 如 果 在 一 个 很 大 型 的 网 域 里 面 ， 万 一 所 有 的 Linux 主机 都 问 同 一 
部 NIS 服 


务 器 要 求 用 户 数 据 时 ， 这 部 NIS 服务 器 的 负载 (loading) 可 能 会 过 大 。 
甚至 如 果 考 


虑 到 数据 使 用 的 风险 ， 要 是 这 单一 的 一 部 NIS 服务 器 挂 点 时 ， 那 其 他 
的 Linux 主机 


还 要 不 要 让 users 登入 啊 ? 所 以 哆 ， 在 较为 大 型 的 企业 环境 当中 ， NIS 
服务 器 可 以 


使 用 master/slave ( 主 控 / 辅 助 服务 器 ) 架构 的 。 
Master NIS 服务 器 提供 系统 管理 者 制作 的 数据 库 ， slave 则 取得 来 自 


master 的 


数据 ， 并 藉以 提供 其 他 客户 端的 查询 。 ”客户 端 可 以 向 整个 网 域 要 求 用 
户 资料 的 响应 ， 


master 与 slave 乡 可 回答 ， 由 于 slave 的 数据 来 自 于 master ， 所 以 用 户 
账号 数据 


本 和 映 是 同步 的 ! 如 此 一 方面 可 以 分 散 NIS 服务 器 的 负载 ， 而 且 也 可 以 
避免 因 NIS 服 


务 需 挂 点 而 导致 的 无 法 登入 的 风险 。 
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1. 括 作 database 
1. 于 得 master 的 | database 。 mi | 更 新 1, 取 竺 master FJ database 
2. 提供 slave 旺 ; 
2. 提供 NIS client 查 施 机 2. 提供 NIS client 覃 神 
提供 ~ 查询 3. 提供 NIS client 查 洛 演 供 Re 









向 整个 袖 辣 的 
NIS server 了 该 搬 


Login:_ 
1l. /etc/passwd 
letc/shadow 


2. NIS 查 痢 





图 14.1-1、NIS 服务 器 与 客户 问 的 运作 与 查询 方式 示意 图 


整个 NIS 的 运作 就 如 同上 图 ， 首 先 必须 要 有 NIS server 的 存在 ， 之 后 才 
会 有 NIS 


Client 的 存在 。 那么 当 使 用 者 有 登入 的 需求 时 ， 整 个 NIS 的 运作 程序 


是 : 
关于 NIS Server (master/slave) 的 运作 程序 : 

1. NIS Master 先 将 本 身 的 账号 密码 相关 档案 制作 成 为 数据 库 档 案 ; 

2. NIS Master 可 以 主动 的 告知 NIS slave server 来 更 新 ; 

3. NIS slave 亦 可 主动 的 前 往 NIS master server 取得 更 新 后 的 数据 

库 档案 ; 

4. 若 有 账号 密码 的 异动 时 ， 需 要 重新 制作 database 与 重新 同步 化 


master/slave。 





关于 当 NIS Client 有 任何 登入 查询 的 需求 时 : 

1. NIS client 特有 登入 需求 时 ， 会 先 租 询 其 本 机 的 /etc/passwd,， 
/etc/shadow 等 档案 ; 

2. 各 在 NIS Client 本 机 找 不 到 相关 的 账号 数据 ， 才 开始 癌 整 个 NIS 
网 域 的 主机 广播 查询 ; 

3. 每 部 NIS server (不 论 master/slave) 都 可 以 响应 ， 基 本 上 是 『 先 
响应 者 优先 」。 


从 上 面 的 流程 当中 ， 你 会 发 现 NIS client 还 是 会 先 针对 本 机 的 账号 数据 
进行 查询 ， 


若 本 机 查 不 到 时 才 到 NIS server 上 头 寻 找 。 因 此 ， 如 果 你 的 NIS client 
本 吴 就 有 很 


多 一 般 使 用 者 的 账号 时 ， 那 跟 NIS server 所 提供 的 账号 就 可 能 产生 一 定 
程度 的 差异 跑 ! 
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所 以 ， 一般 来 说 ， 在 这 样 的 环境 下 ，NIS dient 或 NIS slave server 会 主 
动 拿 挥 自 


己 本 机 的 一 般 使 用 者 账号 ， 仅 会 保留 系统 所 需要 的 root 及 系统 账号 而 
Es 类 此 = 下， 


一 般 使 用 者 才 都 会 经 由 NIS master server 所 控 管 啊 ! 信人 


ee 我 们 的 NIS 环境 大 致 上 需要 设 定 的 基本 组 件 
就 有 : 





NIS Master server : 将 档案 建 置 成 数据 库 ， 并 提供 slave server 来 更 
新 ; 


NIS Slave server : 以 Master server 的 数据 库 作 为 本 号 的 数据 库 来 源 ; 
NIS client : 向 master/server 要 求 登入 者 的 验证 数据 。 
就 如 同上 面 提 到 的 ， 在 大 型 环境 中 才 会 使 用 到 这 么 复杂 的 NIS 


master/slave 架构 。 


因此 ， 本 章 仅 会 介绍 NIS Master 的 建 置 ， 以 及 NIS client 的 设 定 而 已 。 
其 实 ，NIS 


， 的 环境 大 概 越 来 越 仅 局 限 在 学 术 数 值 模式 仿真 的 从 集 计算 机 染 
名 中 (PC 


cluster)， 在 那样 的 架构 中 ， 老 实说 ， 乌 哥 认 为 仅 要 学 会 NIS master 即 
可 。 如 果 还 


有 其 他 账号 方面 的 要 求 ， 例 如 跨 平台 的 帐户 信息 提供 ， 那 可 能 就 得 要 
参考 Samba 或 更 


进 阶 的 LDAP 才 好 叶 ! 这 里 我 们 不 谈 啦 一 现在 ， 就 让 我 们 开始 来 玩 一 玩 
这 个 NIS 的 设 


定 吧 ! 
14.2 NIS Server 端的 设 定 


NIS 服务 器 端 主要 在 于 提供 数据 库 给 客户 端 作为 验证 之 用 ， 虽 然 NIS 服 
务 器 类 型 


有 Master 与 Slave ， 不 过 马 哥 这 里 介绍 的 并 不 是 大 型 企业 环境 ， 因 此 
仅 介 绍 NIS 


master 的 设 定 而 已 啦 一 那 就 来 设 定 看 看 咖 ! 
14.2.1 所 需要 的 软件 





由 于 NIS 服务 器 需要 使 用 RPC 协议 ， 且 NIS 服务 器 同时 也 可 以 当成 客 
户 端 ， 


此 它 需 要 的 软件 就 有 底下 这 几 个 : 
yp-tools : 提供 NIS 相关 的 查寻 指令 功能 


ypbind : 提供 NIS Client 端的 设 定 软件 





ypserv : 提供 NIS Server 器 的 设 定 软件 
rpcbind : 就 是 RPC 一 定 需要 的 数据 啊 ! 


如 果 你 是 使 用 Red Hat 的 系统 ， 例 如 我 们 的 CentOS 6.x 的 话 ， 那 你 可 以 
利用 『 rpm 


-qa | grep "yp' 」 来 检查 是 否 有 安装 上 述 的 软件 。 一 般 来 说 yp-tools， 
ypbind 都 


会 主动 的 安装 ， 不 过 ypserv 可 能 就 不 会 安装 了 。 此 时 建议 你 直接 使 用 
『 yum install ypserv 」 来 安装 吧 ! 立刻 就 效 好 了 。 奔 下 立刻 来 设 定 哆 ! 
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14.2.2 NIS 服务 器 相关 的 配置 文件 


在 NIS 服务 器 上 最 重要 的 就 是 ypserv 这 个 软件 了 ， 但是， 由 于 NIS 设 
定时 还 会 


i 因此 在 配置 文件 方面 需要 有 底下 这 些 
数据 喔 : 


/etc/ypserv.conf: 这 是 最 主要 的 ypserv 软件 所 提供 的 配置 文件 ， 可 以 
由 





范 NIS 客户 端 是 否 可 登入 的 权限 。 
/etc/hosts: 由 于 NIS server/client 会 用 到 网 络 主机 名 与 IP 的 对 应 ， 


因此 这 个 主机 名 对 应 档 就 显 的 相当 重要 ! 每 一 部 主机 名 与 IP 都 需 要 记 
录 才 行 ! 








/etc/sysconfig/network: 可 以 在 这 个 档案 内 指定 NIS 的 网 域 
(nisdomainname)。 


/Var/yp/Makefile: 前 面 不 是 说 账号 数据 要 转 成 数据 库 文件 吗 ? 这 就 是 
i 


建立 数据 库 有 关 的 动作 配置 文件 ; 
至 于 NIS 服务 器 提供 的 主要 服务 方面 有 底下 两 个 : 
/usr/sbin/ypserv: 就 是 NIS 服务 器 的 主要 提供 服务 ; 


/usr/sbin/rpc.yppasswdd: 提供 额外 的 NIS 客户 端 之 用 户 密 人 码 修改 服 








透 过 这 个 服务 ， NIS 客户 端 可 以 直接 修改 在 NIS 服务 器 上 的 密码 。 相 
关 的 使 用 


程序 则 是 yppasswd 指令 ; 

与 账号 密码 的 数据 库 有 关 的 指令 方面 有 底下 几 个 : 
/usr/lib64/yp/ypinit: 建立 数据 库 的 指令 ， 非 常常 用 (在 32 位 的 系统 

3 











文件 名 则 是 /uswlib/yp/ypinit 喔 ! ); 
/usrbin/yppasswd: 与 NIS 客户 端 有 关 ， 主 要 在 让 用 户 修 改 服务 器 上 
的 密 


| 


个 。 


14.2.3 一 个 实 作 案例 

观察 过 图 14.1-1 _ 的话， 你 会 发 现 到 我 们 的 NIS 需要 设 定 
Master/Slave 及 client 等 ， 不 过 我 们 这 里 仅 介 绍 NIS master server 与 NIS 
client 两 个 组 件 而 


己 ， 如 果 你 有 需要 额外 的 slave 的 话 ， 再 请 查阅 NIS 官网 的 介绍 哎 。 底 
下 乌 哥 先 拟 


一 个 简单 的 案例 ， 做 完 案 例 我 们 再 来 谈 谈 实际 可 能 会 使 用 于 丛 集 计 算 机 
的 案例 吧 ! 


NIS 的 域名 为 vbirdnis 


整个 内 部 的 信任 网 域 为 192.168.100.0/24 





NIS master server 的 IP 为 192.168.100.254 ， 主 机 名 为 
www.centos.vbird 
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NIS client 的 IP 为 192.168.100.10， 主 机 名 为 
clientlinux.centos.vbird 
底下 我 们 就 一 个 一 个 来 设 定 吧 ! 
14.2.4 NIS server 的 设 定 与 启动 


NIS 服务 串 的 设 定 真是 很 简单 ， 首 先 ， 你 必须 要 在 NIS 服务 器 上 面 搞定 
你 的 账号 


与 密码 相关 数据 ， 这 包括 /etc/passwd, /etc/shadow, /etc/hosts, /etc/group 








、 
| 


等 等 ， 孝 得 要 和 允 摘 定 才 


了 ! ”详细 的 账号 相关 资料 请 参考 基础 篇 的 第 十 


四 章 账 号 管理 。 等 
到 搞定 之 后 你 就 可 以 继续 NIS 服务 占 的 设 定 了 : 


1. 先 设 定 NIS 的 域名 (NIS domain name) 


NIS 是 会 分 领域 名 (domain name) 来 分 辨 不 同 的 账号 密码 数据 的 ， 因 此 
你 必须 要 


在 服务 器 与 客户 端 都 指定 相同 的 NIS 领域 名 才 行 。 设 定 这 个 NIS 领域 
名 的 动作 很 简单 ， 


就 直接 编辑 /etc/sysconfig/network 即 可 ! 如 下 所 示 : 
[root@www ~]# vim /etc/sysconfig/network 
# 不 要 更 改 其 他 既 有 数据 ， 只 要 加 入 底下 这 几 行 即 可 : 


NISDOMAIN=vbirdnis <== 设 定 NIS 领域 名 








YPSERV_ARGS="-p 1011" <== 设 定 NIS 每 次 都 启动 在 固定 的 井口 
当然 ， 你 也 可 以 使 用 手动 的 方式 暂时 设 定好 你 的 NIS 领域 名 ， 透 过 的 方 
法 就 是 


nisdomainname 这 个 指令 。 (其 实 nisdomainname 与 ypdomainname 及 
domainname 


都 是 一 模 一 样 的 指令 啦 ! 你 只 要 记 住 一 个 指令 名 称 即 可 。 请 自行 ”man 
domainname 吧 ! ) 


不 过 ， 这 个 指令 现在 大 概 只 用 来 检查 设 定 是 否 正确 ， 因 为 局 动 NIS 服务 
器 时 ， 服 务 器 


去 捉 取 的 数据 就 是 从 network 这 个 档案 里 面 捉 取 的 ! 所 以 只 要 改 这 个 配 
置 文件 即 可 啊 ! 








人 由 于 未 来 想 使 用 iptables 直接 管理 NIS 的 使 用 ， 因 此 我 们 想 要 控 
| NIS 





启动 在 固定 的 塌 口 上 。 此 时 ， 就 使 用 『YPSERV_ARGS="-p 1011"」 这 
个 设 定 值 来 固定 埋 


口 在 1011 吧 ! 





2. 主要 配置 文件 /etc/ypserv.conf 





net.qiang(Ohotmail.com 


这 个 配置 文件 就 是 NIS 服务 器 最 主要 的 配置 文件 啦 ! 内 容 很 简单 ， 
你 可 以 保 


留 默认 值 即 可 。 不 过 ， 也 可 以 作 一 些 更 动 啦 ! 
[root@www ~]# vim /etc/ypserv.conf 


dns: no 


# NIS 服务 器 大 多 使 用 于 内 部 局 域 网络 ， 只 要 有 /etc/hosts 即 可 ， 不 用 
DNS 


啤 

files: 30 

# 默认 会 有 30 个 数据 库 被 读 入 内 存 当 中 ， 
其 实 我 们 的 账号 档案 并 不 多 ，30 个 
够 用 了 。 

xfr_check_port: yes 


# 与 master/slave 有 关 ， 将 同步 更 新 的 数据 库 比 对 所 使 用 的 端口 口 ， 放 


置 于 
<1024 内 。 


# 底下 则 是 设 定 限制 客户 端 或 slave server 查询 的 权限 ， 利 用 冒号 隔 成 四 
部 


分 : 


# [主机 名 /IP] : [NIS 域名 ] : [可 用 数据 库 名 称 ] : [安全 限制 |] 
#[ 主 机 名 /IP] : 可 以 使 用 network/netmask 如 





192.168.100.0/255.255.255.0 
# [NIS 域名 ] : 例如 本 案例 中 的 vbirdnis 

#[ 可 用 数据 库 名 称 ]: 就 是 由 NIS 制作 出 来 的 数据 库 名 称 
# [安全 限制 ] : 包括 没有 限制 mone)、 仅 能 使 用 <1024 (port) 及 拒 
绝 (deny) 
# 一般 来 说 ， 你 可 以 依照 我 们 的 网 域 来 设 定 成 为 底下 的 模样 : 


127.0.0.0/255.255.255.0 : * : * :Done 





192.168.100.0/255.255.255.0 : * ; * :Done 
*;*;* ;deny 


星 写 (*) 代表 任何 数据 都 接受 的 意思 。 上 面 三 行 的 意思 是 ， 开 放 lo 内 


# 开放 内 部 LAN 网 域 ， 且 杜绝 所 有 其 他 来 源 的 NIS 要 求 的 意思 。 
# 还 有 一 个 简单 作法 ， 你 可 以 先 将 上 面 三 行 批注 ， 然 后 加 入 底下 这 一 行 


即 可 : 
洲 : 洲 : 洲 :DOne 


由 于 乌 哥 习惯 在 内 部 网 域 并 不 设 定 比较 严格 的 限制 ， 因 此 通常 乌 哥 都 是 
人 选择 使 用 | *: 


* ; * ; none 」 那 个 设 定 值 ! 然后 透 过 iptables 来 管控 可 使 用 的 来 源 就 是 
Ta s 


你 可 以 依据 你 的 需求 来 设 定 啦 ! 


3. 设 定 主机 名 与 卫 的 对 应 (/etc/hosts) 
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在 /etc/ypserv.conf 的 设 定 当 中 我 们 谈 到 NIS 大 部 分 是 给 局 域 网 络 内 的 主 
机 使 





用 的 ， 所 以 当然 就 不 需要 DNS 的 设 定 了 。 不 过 ， 由 于 NIS 使 用 到 很 多 
的 主机 名 ， 但 是 


网 络 联机 透 过 的 是 IP 啊 ! 所 以 你 一 定 要 设 定 好 /etc/hosts 里 面 的 主机 名 
与 IP 的 对 


立 ， 否 则 会 无 法 成 功 联机 NIS ! 这 个 很 重要 ， 绝 大 部 分 的 朋友 无 法 达成 
NIS 


server/client 的 联机 都 是 这 里 出 问题 而 已 。 依据 本 案例 的 设 定 值 ， 你 应 


该 这 样 做 : 





[root@www ~|]# vim /etc/hosts 
# 原 本 就 有 的 localhost 与 127.0.0.1 之 类 的 设 定 都 不 要 更 动 ， 
只 要 新 增 数 


据 : 

192.168.100.254 www.centos.vbird 

192.168.100.10 clientlinux.centos.vbird 

[root@www ~]# hostname 

www.centos.vbird 

# 再 做 个 确认 ， 确 定 输出 的 主机 名 与 本 机 IP 确实 有 写 入 /etc/hosts 喔 ! 


注意 ! 如 果 你 的 主机 名 (hostname) 与 NIS 的 主机 名 不 一 样 ， 那 么 在 这 个 
档案 当中 还 


是 需要 将 你 的 主机 名 给 他 设 定 进来 ! ”否则 在 后 面 数据 库 的 设 定时 ， 肯 
定 会 发 生 问 题 。 


当然 啦 ， 你 也 可 以 直接 在 /etc/sysconfig/network 当中 直接 重新 设 定 主机 
名 ， 然 后 重 


新 启动 ， 或 者 是 利用 hostname 这 个 指令 重新 设 定 你 的 主机 名 也 可 以 。 





4. 局 动 与 观察 所 有 相关 的 服务 


接 下 来 当然 是 先 司 动 所 有 相关 的 服务 哆 ， 这 包括 RPC， ypserv 以 及 
yppasswdd 嘱 ! 


不 过 ， 如 果 你 的 RPC 本 来 就 已 经 启动 的 话 ， 那 就 不 要 重新 启动 rpcbind 
了 ! 此 外 ， 为 


了 也 让 yppasswdd 局 动 在 固定 的 埋 口 ， 方 便 防 火 墙 的 管理 ， 因此 ， 我 们 
也 建议 你 可 以 














设 定 一 下 /etc/sysconfig/yppasswdd 喔 ! 


[root@www ~]# vim /etc/sysconfig/yppasswdd 


YPPASSWDD_ARGS="--port 1012" <== 找 到 这 个 设 定 值 ， 
修改 一 下 内 容 成 这 

样 ! 

[root@www ~]# /etc/init.d/ypserv start 

[root@www ~]# /etc/init.d/yppasswdd start 

[root@www ~]# chkconfig ypserv on 

[root@www ~]# chkconfig yppasswdd on 


注意 ， 主 要 的 NIS 服务 是 ypserv ， 不 过 ， 如 采 要 提供 NIS 客户 端的 密 
码 修改 功能 的 


话 ， 最 好 还 是 得 要 启动 yppasswdd 这 个 服务 才 好 。 在 启动 完毕 后 ， 我 们 
可 以 利用 


rpcinfo 来 检查 看 看 : 
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[root@www ~]# rpcinfo -p localhost 
program vers proto port service 
100000 4 tcp 111 portmapper 
100000 4 udp 111 portmapper 
100004 2 udp 1011 ypserv 

100004 1 udp 1011 ypserv 

100004 2 tcp 1011 ypserv 


100004 1 tcp 1011 ypserv 


100009 1 udp 1012 yppasswdd 


# 其 他 个 相干 的 RPC 吕 哥 将 它 拿 近 了 ， 写 NIS 有 关 的 全 少 要 有 上 面 过 
J 


要 仔细 看 ， 
# 看 看 埠 口 是 否 为 我 们 规定 的 1011, 1012 ， 若 不 是 的 话 ， 得 要 修改 一 下 
配置 





文件 。 

[root@www ~1]# rpcinfo -u localhost ypserv 
program 100004 version 1 ready and waiting 
program 100004 version 2 ready and waiting 


很 多 时 候 ， 很 多 朋 祥 在 设 定 完 NIS 后 又 回去 设 定 NFS 了 ， 结 果 看 了 前 


一 章 的 介绍 ， 竟 


然 又 重新 启动 rpcbind ， 这 将 导致 ypserv 的 注册 数据 被 注销 掉 。 因 此 ， 
使 用 上 述 的 


动作 来 检查 看 看 服务 有 没有 在 等 竺 中 ， ”要 看 到 如 上 的 [就 绪 并 等 待 服 
务 」 才 会 是 正切 


的 哟 ! 





5. 处 理 账 号 并 建立 数据库 


在 完成 了 上 面 的 所 有 步 又 后 ， 接 下 来 我 们 得 要 开始 将 主机 上 面 的 账号 档 
案 转 成 数据 


库 档 案 啦 ! 不 过 ， 因 为 担心 与 NIS 客户 端的 账号 有 冲突 ， 加 上 之 前 我 
们 已 经 建立 过 一 


些 账 号 了 。 所 以 ， 这 里 我 们 建立 三 个 新 账号 ， 分 别 是 nisuser1, nisuser2， 
nisuser3 。 


不 过 账号 主要 是 依据 UID 来 判断 的 啊 ! 因此 ， 我 们 使 用 大 于 1000 的 
UID 来 建立 这 三 


个 账号 喔 ! 





[root@www ~]# useradd -u 1001 nisuser1 
[root@www ~]# useradd -u 1002 nisuser2 
[root@www ~]# useradd -u 1003 nisuser3 
[root@www ~ 1# echo password | passwd --stdin nisuser1 
[root@www ~ 1# echo password | passwd --stdin nisuser2 


[root@www ~]# echo password | passwd --stdin nisuser3 


接 下 来 ， 将 建立 的 帐 密 数据 转 成 数据 库 吧 ! 转换 的 动作 直接 透 过 
/usr/lib64/yp/ypinit 


这 个 指令 来 处 理 即 可 ! 整个 步骤 是 这 样 做 的 : 
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[root@www ~]# /usr/lib64/yp/ypinit -m 

At this point, we have to construct a list of the hosts which will run 
NIS 

servers. Www.centos.vbird is in the list of NIS server hosts. Please 
continue 


to add the names for the other hosts, one per line. When you are done 


with the 

list, type a <control D>. 

next host to add: www.centos.vbird <== 系 统 根据 主机 名 自动 捉 
取 

next host to add: <== 这 个 地 方 按 下 

[crtll-d 

The current list of NIS servers looks like this: 
www.centos.vbird 

Is this correct? [y/n: y] y 

We need a few minutes to build the databases... 

Building /var/yp/vbirdnis/ypservers... 

Running /var/yp/Makefile... 

gmakel[1]: Entering directory /var/yp/vbirdnis' 

Updating passwd.byname... 

Updating passwd.byuid... 

…( 中 间 省 略 )..… 

gmakel1]: Leaving directory /var/yp/vbirdnis' 
www.centos.vbird has been set up as a NIS master server. 


Now you can run ypinit -s www.centos.vbird on all slave server. 


要 注意 出 现 的 信息 当中 ， 在 告知 你 可 以 直接 输入 [ctrlj-d 以 结束 的 那个 
地 方 ， 你 的 


主机 名 会 主动 的 被 捉 出 来 ， 注 意 ! 这 个 主机 名 务必 需要 在 /etc/hosts 可 
以 被 找到 IP 


的 对 应 ， 否则 会 出 现 问 题 。 为 外 ， 万 一 在 执行 ypinit -m 时 ， 出 现 如 下 
的 错误 ， 那 此 


定 束 是 有 些 数据 没有 被 建 并 了 ! 


gmakel[1]: *** No rule to make target /etc/aliases', needed by mail.aliases.. 
Stop. 


gmakel[1]: Leaving directory /var/yp/vbirdnis' 
make: *** [target] Error 2 

Error running Makefile. 

Please try it by hand. 

[root@www ~]# touch /etc/aliases 
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0 


0 
# 解决 方法 很 简单 响 ! 缺少 什么 档案 ， 就 touch 他 就 是 了 ! 
[root@www ~]# /usr/lib64/yp/ypinit -m 
# 然后 再 重新 执行 一 次 即 可 ! 
如 果 是 如 下 的 错误 ， 那 可 能 是 因为 : 
你 的 ypserv 服务 没有 顺利 启动 ， 请 利用 rpcinfo 检查 看 看 ; 
你 的 主机 名 与 IP 没有 对 应 好 ， 请 检查 /etc/hosts 


gmake[1]: Entering directory /var/yp/vbirdnis' 
Updating passwd.byname... 


failed to send "clear to local ypserv: RPC: Program not registeredUpdating 
passwd.byuid... 


failed to send 'clear' to local ypserv: RPC: Program not registeredUpdating 
group.byname... 


…( 底 下 省 略 )..… 


要 注意 啊 ， 如 果 你 的 用 户 密 码 有 变动 过 ， 那 么 你 就 得 要 重新 制作 数据 
库 ， 重 新 局 动 


ypserv 及 yppasswdd 喔 ! 注意 注意 啊 ! 整个 NIS 服务 嚣 这样 束 给 搞定 
了 3 有 没有 很 


简单 啊 ! 
14.2.5 防火 墙 设置 


又 来 到 了 防火 墙 的 规划 了 ! 要 注意 的 是 ， 我 们 的 NIS 与 NFS 都 是 使 用 
RPC Server 


的 ， 所 以 哆 ， 除 了 上 述 谈 到 的 固定 井口 之 外 ， 你 还 得 要 开放 port 111 才 
行 。 假 设 你 


而 且 是 使 用 鸟 哥 的 iptables.rule 脚本 来 处 理 你 的 防火 
省 ， 那么 你 


可 以 修改 该 档案 的 内 容 ， 新 增 几 条 规则 去 : 








[root@www ~]# vim /usr/local/virus/iptables/iptables.allow 
iptables -A INPUT -i $SEXTIF -p tcp -s 192.168.100.0/24 --dport 1011 -j 


ACCEPT 


iptables -A INPUT -i$EXTIF -p udp -s 192.168.100.0/24 -m multiport \ 
--dport 1011,1012 -j ACCEPT 

[root@www ~|]# /usr/local/virus/iptables/iptables.rule 

# 和 干 万 记得 要 重新 建 置 防火 墙 规则 啊 ! 

14.3 NIS Client 端的 设 定 
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ee 所 以 NIS _ server 提供 数据 库 档 案 ，NIS 
client 当 


然 也 需要 提供 一 些 联机 的 软件 吃 ! 这 个 联机 的 软件 就 是 ypbind 啦 ! 此 


14.1-1 的 介绍 ， 在 NIS client 端 有 登入 需求 时 ，NIS client 基本 上 还 是 先 
搜寻 自己 


的 /etc/passwd, /etc/group 等 数据 后 才 再 去 找 NIS server 的 数据 库 啊 ! 所 
以 NIS 


client 最 好 能 够 将 本 吴 的 账号 密码 删除 到 仅 剩 下 系统 账号 ， 亦 即 ”UID， 
GID 均 小 于 


500 以 下 的 账号 即 可 ， 如 此 一 来 既 可 让 系统 执行 无 误 ， 也 能 够 让 登入 者 
的 信息 完全 来 


自 NIS server ， 比 较 单 纯 啦 ! 


Tips: 

事实 上 ， 你 想 要 让 NIS 服务 器 写 入 的 各 项 账号 数据 都 在 NIS 
server 的 /var/yp/Makefile 那个 档案 设 定 的 ! 你 可 以 进入 该 档 
案 搜寻 一 下 UID 就 知道 了 ! 人 和信 

14.3.1 NIS dlient 所 需 软 件 与 软件 结构 
NIS client 端 所 需要 的 软件 仅 有 : 

ypbind 

yp-tools 


yp-tools 是 提供 查询 的 软件 ， 至 于 ypbind 则 是 与 ypserv 互相 沟通 的 客户 
端 联 


机 软件 啦 ! 男 外， 在 CentOS 当中 我 们 还 有 很 多 配置 文件 是 与 认证 有 关 


的 配置 文件 时 ， 在 设 定 NIS client 你 可 能 需要 动 到 底下 的 档案 : 
/etc/sysconfig/network: 就 是 NIS 的 领域 名 嘛 ! 

/etc/hosts: 至 少 需要 有 各 个 NIS 服务 器 的 卫 与 主机 名 对 应 ; 
/etc/yp.conf: 这 个 则 是 ypbind 的 主要 配置 文件 ， 里 面 主 要 设 定 NIS 服 
务 器 所 在 


/etc/sysconfig/authconfig: 规范 账号 登入 时 的 允许 认证 机 制 ; 














/etc/pam.d/system-auth : 这 个 最 容易 态 记 ! 因为 账号 通常 由 PAM 模 
块 所 


管理 ， 所 以 你 必须 要 在 PAM 模块 内 加 入 NIS 的 支持 才 行 ! 


/etc/nsswitch.conf : 这 个 档案 可 以 规范 账号 密码 与 相关 信息 的 查询 顺 
序 ， 


默认 是 先 找 /etc/passwd 再 找 NIS 数据 库 ; 


另外 ， NIS 还 提供 了 几 个 有 趣 的 程序 给 NIS 客户 端 来 进行 账号 相关 参 
数 的 修改 ， 


例如 密码 、shell 等 等 ， 主要 有 底下 这 几 个 指令 : 
/usr/bin/yppasswd : 更 改 你 在 NIS database (NIS Server 所 制作 的 数据 
库 ) 的 密码 


/usr/bin/ypchsh : 同上 ， 但 是 是 更 改 shell 





/usr/bin/ypchfn : 同上 ， 但 是 是 更 改 一 些 用 户 的 讯 娠 ! 
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root@clientlinox:~ [66x17] 本 =| 口 | x| 

连 牧 (局 编辑 巴 ) 核 视 名 ) 视窗 选项 好 ) 讲 明 四 ) 

Text Mode Setup Utility 1]1.19.9 【cy 1999-20065 
Choose a Tool 





utnentlicat n Conlileura 
Firewall conflgeuratlon 
Keyboard configuration 
Network configuration 
SyS tem SBrVICBS5S 


<Tab>/ alt-Tab> between elements | Use <Enter> to | 





OK! 那么 底下 束 让 我 们 开始 来 设 定 NIS 客户 端 吧 ! ^ 和 


14.3.2 NIS client 的 设 定 与 启动 





启动 NIS dient 的 设 定 就 简单 多 了 ! 最 主要 是 加 入 NIS domain 当中 ， 然 
后 再 局 


动 ypbind 即 可 。 虽然 你 可 以 手动 去 修改 所 有 的 配置 文件 ， 然 而 近期 以 
来 的 Linux 


distributions 账号 处 理 机 制 越 来 越 复 杂 ， 所 以 如 果 你 想 要 手动 修改 所 有 
配置 文件 ， 


仙 怕 会 闷 掉 的 一 因此 ， 这 里 建议 你 使 用 系统 提供 的 工具 来 设 定 ， ”至 于 
一 些 重 要 配置 文 


件 ， 最 后 有 机 会 再 去 参考 一 下 即 可 。 


0 6.x 提供 了 什么 好 用 的 管理 工具 呢 ? 很 简单 ， 束 利用 setup 
这 个 指 


a 输入 setup 就 会 出 现 如 下 的 图 示 ， 然后 依 序 这 么 处 理 就 好 了 
吻 ! 





图 14.3-1、 利 用 setup 进入 authconfig 认证 项 目 
记得 在 出 现 上 图 14.3-1 后 ， 选 择 认证 设 定 ， 如 果 是 出 现 英 文 的话 ， 那 么 


你 就 得 要 


选择 『Authentication ”configuration〗 的 项 目 ， 之 后 就 会 进入 下 面 的 画 
面 : 
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中 root@clientlinux:~ [66x17] -| 口 | x| 
违 和 粮 忆 ) 编辑 加 ”检视 视窗 人) 选项 旬 ) 说 明 便 ) 


User Information Authentication 
Cache Infiormatlon ] Use }DS 
Use Heslod 
Use LDAP 
Use NIS 

1 Use Vinblnd 





中 root@clientlinux:~ [66x17] 
连 贸 人 ) 编辑 屯 ) 核 视 多 ) ”视窗 QD 选项 旬 ) 诸 明 卫 ) 


authconfig-tul - (tc) 1 Red Hat, Inc, 


Domain: 加 本 CT 下 
NEIYEI: 6 


<Tab>/<alt-Tab> between elements | <Space> selects | :fl2» 了 加 





图 14.3-2、 进 入 authconfig 之 后 ， 选 择 NIS 项 目 


因为 我 们 要 用 NIS 作为 登入 者 昊 份 验 证 的 机 制 ， 因 此 天 得 要 选择 NIS 
项 目 ， 如 果 


是 英文 的 话 ， 得 要 选择 『Use NIS」 项 目 即 可 。 
图 14.3-3、 填 写 NIS 领域 以 及 NIS 服务 器 的 IP 即 可 


最 后 再 填写 NIS 网 域 (Domain) 以 及 NIS 服务 器 的 IP (Server)， 按 下 确 
定 即 可 。 


如 果 系 统 很 快 的 束 跳 回 图 14.3-1 的 画面 ， 代表 你 的 设 定 理论 上 是 没有 


问题 的 。 如 果 

一 直 卡 在 如 下 的 画面 中 : 

正在 激活 rpcbind: [确定 ] 

正在 关闭 NIS 服务 : [ 确 

定 ] 

正在 启动 NIS 服务 : [ 确 

定 ] 

正在 绑 定 NIS 服务 : .………. <== 这 里 一 直 卡 住 ， 没 办 法 结束 
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上 述 的 数据 就 是 出 问题 啦 ! 那 代表 你 的 NIS client 没有 办 法 连接 上 NIS 


server， 最 


常 发 生 的 就 是 服务 器 的 防火 墙 忘记 放行 ， 或 者 是 你 客户 端 输入 服务 器 IP 
时 ， 打 错 数 字 


了 一 ， 那 也 是 很 常 发 生 的 错误 啦 ! 这 时 请 自行 去 修改 一 番 吧 ! 那么 这 个 
setup 到 底 做 了 


什么 修改 呢 ? 我 们 也 来 看 看 几 个 被 改 挥 的 重要 配置 文件 吧 : 








[root@clientlinux ~]# cat /etc/sysconfig/network 
HOSTNAME=dlientlinux.centos.vbird 
NETWORKING=yes 


GATEWAY=192.168.100.254 


NISDOMAIN=vbirdnis <== 这 个 玩意 儿 会 主动 的 被 建立 起 来 
[root@clientlinux ~]# cat /etc/yp.conf 

…( 前 面 省 略 )..… 

domain vbirdnis server 192.168.100.254 <== 主 动 建立 这 玩意 儿 一 
[root@clientlinux ~]# vim /etc/nsswitch.conf 

passwd: files nis 

shadow: files nis 

group: files nis 

hosts: files nis dns 


ee 包括 身份 参数 、 密 码 、 群 组 名 、 主 机 名 
与 IP 


应 数据 等 。 
# 你 会 看 到 ， 每 个 项 目 后 面 都 会 接着 nis ， 所 以 nis 有 被 文 持 吃 ! 


因为 更 动 到 的 档案 实在 太 多 了 ， 所 以 乌 哥 还 是 建议 使 用 setup 来 调整 即 
辣 志 :但 是 关 划 


果 你 真 的 想 要 手动 处 理 的 话 ， 那么 你 必须 要 手动 的 修改 底下 这 些 档 


案 : 





/etc/sysconfig/network (加 入 NISDOMAIN 项 目 ) 
/etc/nsswitch.conf (修改 许多 主机 验证 功能 的 顺序 ) 
/etc/sysconfig/authconfig (CentOS 的 认证 机 制 ) 


/etc/pam.d/system-auth (许多 登入 所 需要 的 PAM 认证 过 程 ) 


/etc/yp.conf ( 亦 即 是 ypbind 的 配置 文件 ) 
14.3.3 NIS client 端的 检验 : yptest ypwhich, ypcat 


如 何 确 定 NIS dient 已 经 连 上 NIS server 了 呢 ? 基本 上 ， 只 要 刚刚 使 用 
setup 去 


设 定 时 ， 最 后 的 步骤 并 没有 被 卡 住 ，“ 那 应 该 就 是 顺利 成 功 啦 ! 该 步骤 
会 目 动 局 动 


rpcbind 与 ypbind 两 个 服务 哆 ! 那 如 何 确认 数据 传送 是 正确 的 ? 简单 的 


要 命 啊 ! 你 


可 以 利用 id 这 个 指令 直接 检查 NIS server 有 的 ， 但 是 NIS client 没有 的 
账号 ， 如 


果 有 出 现 该 账号 的 相关 ”UID/GID ”信息 时 ， 那 表示 数据 传输 也 是 正确 
的 。 除 此 之 外 ， 我 


们 还 可 以 透 过 NIS 提供 的 相关 检验 功能 来 检查 喔 ! 确 下 分 别 来 瞧 一 瞧 : 
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利用 yptest 检验 数据 库 之 测试 : 
直接 在 NIS client 输入 yptest 即 可 检查 相关 的 测试 数据 ， 如 下 所 示 : 





[root@clientlinux ~]# yptest 

Test 1: domainname 

Configured domainname is "vbirdnis" 
Test 2: ypbind 


Used NIS server: www.centos.vbird 


Test 3: yp_match 
WARNING: No such key in map (Map passwd.byname, key nobody) 
.…( 中 间 省 略 )…. 
Test 6: yp_master 
www.centos.vbird 
.…( 中 间 省 略 )…. 
Test 8: yp_maplist 
passwd.byname 
protocols.byname 
hosts.byaddr 
hosts.byname 
.…( 中 间 省 略 )…. 
Test 9: yp_all 


nisuserl 
nisuser1l:$1$U9Gccb60$K5IDQ.mGBw9x40NEkMOLz/:1001:1001::/home/ni 


…( 中 间 省 略 )..… 
1 tests failed 


从 这 个 测试 当中 我 们 可 以 友 现 一 些 错误 ， 就 是 在 Test 3 出 现 的 那个 警告 
信息 啦 。 还 好 ， 


那 只 是 说 没有 该 数据 库 而 已 ~ 该 错误 是 可 以 忽略 的 。 重 点 在 第 9 个 步 
又 yp_all 必须 


要 有 列 出 你 NIS server 上 头 的 所 有 帐户 信息 ， 如 果 有 出 现 账号 相关 数据 
的 话 ， 那 么 应 


该 就 算 验 证 成 功 了 ! 


net.qiang(Ohotmail.com 


Tips: 

比较 有 问题 的 是 第 三 步骤， 他 会 出 现在 passwd.byname 当中 找 不 到 
nobody 的 字样 。 这 是 因为 早期 的 nobody 之 UID 都 设 定 在 

65534 ， 但 CentOS 则 将 nobody 设 定 为 系统 账号 的 99 ， 所 以 当 
然 不 会 被 记录 ， 也 融 出 现 这 一 个 警告 。 不 过 ， 这 个 错误 是 可 忽略 的 


啦 ! 


利用 ypwhich 检验 数据 库 数量 


单纯 使 用 ypwhich 的 时 候 显示 的 是 【NIS Client 的 domain」 名 称 ， 而 当 
加 入 -x 


这 个 参数 时 ， 则 是 显示 [NIS Client 与 Server 之 间 沟 通 的 数据 库 有 哪 
些 ? 」 你 可 以 


这 样 测试 哩 ! 
[root@clientlinux ~]# ypwhich -x 


Use "hosts" for map "hosts.byname" 


Use "group" for map "group.byname" 
Use "passwd" for map "passwd.byname" 
…( 以 下 省 略 )..… 


由 上 面 我 们 可 以 很 清楚 的 就 看 到 相关 的 档案 啦 ! 这 些 数据 库 档 案 则 是 放 
置 在 我 的 NIS 


Server 的 /var/yp/vbirdnis/* 里 面 嗓 ! 


利用 ypcat 读 取 数据 库 内 容 
除了 yptest 之 外 ， 你 还 可 以 直接 利用 ypcat 读 取 数据 库 的 内 容 喔 ! 一 般 


作法 是 

这 样 : 

[root@clientlinux ~]# ypcat [-h nisserver] [数据 库 名 称 ] 

选项 与 参数 : 

-h nisserver : 如 果 有 设 定 的 话 ， 指 向 某 一 部 特定 的 NIS 服务 絮 ， 

如 末 没 有 指定 的 话 ， 就 以 ypbind 之 设 定 为 主 ; 

数据 库 名 称 : 亦 即 在 /var/yp/vbirdnis/ 内 的 档 名 啊 ! 例如 passwd.byname 


# 读 出 passwd.byname 的 数据 库 内 容 





[root@clientlinux ~]# ypcat passwd.byname 
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0 
这 三 个 指令 在 进行 NIS Client 端的 检验 时 ， 是 相当 有 用 的 喔 ! 不 要 忽略 


了 他 的 存在 啊 ! 


尤其 是 刚 染 设 好 NIS Client 时 ， 一 定 要 使 用 yptest 去 检查 看 看 有 没有 设 
定 错误 喔 ! 


根据 屏幕 显示 的 讯 县 去 一 个 一 个 校正 错误 才 行 啊 ! 
14.3.4 使 用 者 参数 修改 : yppasswd, ypchfn, ypchsh 


好 了 ， 完 成 了 上 述 的 设 定 后 ， 你 的 ”NIS serverclient 的 账号 已 经 同步 
于 小 -有 是 


高 兴 不 是 吗 ? 不过， 还 有 个 挺 大 的 问题 ， 那 就 是 .使 用 者 如 何在 “NIS 
client 修改 他 


目 己 的 登入 参数 ， 例 如 密码 、shell 等 等 ? 因为 NIS client 是 籍 由 数据 库 
来 取得 用 


户 的 账号 密码 ， 那 如 何在 NIS 客户 端 处 理 账 号 密码 的 订正 ? 


问 的 好 ! 这 也 是 为 何 我 们 需要 在 NIS server 启动 yppasswdd 这 文 服务 的 
二 要 必 


意 ! 因为 yppasswdd 可 以 接收 NIS client 端 传 来 的 密码 修改 ， 藉 此 而 处 
理 NIS 




















server 的 /etc/passwd, /etc/shadow ， 然后 yppasswdd 还 能 够 重建 密码 数 
据 库 ， 


让 NIS server 同步 更 新 数据 库 ! 真是 很 不 错 啊 ! 和 ^^ 


那 访 如何 下 达 指 令 呢 ? 很 简单 啊 ! 透 过 yppasswd, ypchsh, ypchfn 来 处 理 
即 可 。 


这 三 个 指令 的 对 应 是 : 


yppasswd : 与 passwd 指令 相同 功能 ; 





ypchfn : 与 chfn 相同 功能 ; 


ypchsh : 与 chsh 相同 功能 。 


因为 功能 相当 ， 所 以 乌 哥 这 里 仅 说 明 一 下 yppasswd 而 已 。 假 设 你 已 经 
登入 NIS 


client 那 部 主机 ， 并 且 是 以 nisuserl 这 个 使 用 者 登入 的 ， 记 住 ， 这 个 用 
户 相 关 数 据 


仅 在 NIS server 上 。 接 下 来 ， 这 个 使 用 者 可 以 下 达 yppasswd ， 如 下 所 
小 : 





[root@clientlinux ~]# grep nisuser /etc/passwd <== 不 会 出 现任 何 讯息 ， 因 
为 无 此 账号 

[root@clientlinux ~]# su - nisuserl <== 直 接 切 换 身 份 看 看 ! 

su: warning: cannot change directory to /home/nisuserl: No Such file 

or directory 

-bash-4.1$ id 

uid=1001(nisuserl) gid=1001(nisuser1) groups=1001(nisuser1) 

# 因为 我 们 client.centos.vbird 仅 有 帐户 信息 ， 并 没有 用 户 家 目录 ， 
ee 上 的 警告 ， 因 此 才 需 要 用 id 验证 ， 并 且 需 要 加 挂 NFS 











# 仔细 看 ， 现 在 的 身份 确实 是 nisuserl 喔 ! 确实 有 连 上 NIS server 啦 ! 
-bash-4.1$ yppasswd 

Changing NIS account information for nisuserl on www.centos.vbird. 
Please enter old password: <== 这 里 输入 旧 密 码 
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Changing NIS password for nisuserl on www.centos.vbird. 

Please enter new password: <== 这 里 输入 新 密码 

Please retype new password: <== 再 输入 一 志 

The NIS password has been changed on www.centos.vbird. 
-bash-4.1$ exit 

嘿嘿 ! 如 何 ， 这 样 就 更 新 了 NIS server 上 汰 的 /etc/shadow 以 及 


/Var/yp/vbirdnis/passwd.by* 的 数据 库 ， 简单 吧 ! 一 下 子 束 同步 化 了 。 不 
过 ， 如 果 


要 教育 使 用 者 使 用 yppasswd 的 话 ， 他 可 能 不 太 能 适应 ， 不 要 紧 ， 你 可 
以 透 过 修改 


alias 或 者 是 置换 掉 /usr/bin/passwd 这 支 程序 即 可 ! 那 现 在 让 我 们 回 到 
NIS 服务 器 


端 看 看 真 的 有 更 动 到 数据 库 吗 ? 





[root@www ~1# 1] /var/yp/vbirdnis/ 


-TW------- . 1 root root 13836 Jul 28 13:10 netid.byname 
-TW------- . 1 root root 14562 Jul 28 13:29 passwd.byname 
-TW------- . 1 root root 14490 Jul 28 13:29 passwd.byuid 
-TW------- . 1 root root 28950 Jul 28 13:10 protocols.byname 
# 仔细 看 ， 


就 是 那个 密码 档案 被 更 动 过 一 时 间 已 经 不 一 样 了 ! 


再 看 看 登录 档 吧 ! 

[root@www ~]#tail /var/log/messages 

Jul 28 13:29:14 www rpc.yppasswdd[1707]: update nisuserl (uid=1001) 
from host 

192.168.100.10 successful. 


最 终 从 登录 档 里 面 ， 我 们 也 能 够 得 到 相关 的 记录 ! 这 样 就 非常 完美 啦 ! 
和 人 和 


14.4 NIS 搭配 NFS 的 设 定 在 从 集 计算 机 上 的 应 用 


刚刚 在 NIS 客户 端的 nisuserl 登入 测试 中 ， 你 应 该 已 经 发 现 了 一 件 事 ， 
那 束 是 

怎么 nisuserl 没有 家 目录 啊 ? 这 很 正常 啊 ! 因为 nisuserl 的 家 目录 是 在 
服务 器 端的 


/home 上 头 ， 而 你 在 客户 端 登 入 时 ， 在 客户 端的 home 底下 根本 不 可 能 


有 nisuser1 


的 家 目录 嘛 ! 那 怎 办 ? 很 简单 ， 将 服务 器 端的 /home 挂 载 到 客户 关上 面 
好 可 啊 ! 那 这 


个 观念 跟从 集 计算 机 有 喻 关系 啊 ? 束 让 我 们 来 谈 谈 吧 ! 











什么 是 从 集 计算 机 ? 
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因为 个 人 计算 机 的 CPU 速度 越 来 越 快 ， 核 心 数 目 越 来 越 多 ， 因 此 个 人 
计算 机 的 效 


能 已 经 不 比 服务 器 等 级 的 大 型 计算 机 差 了 ! ”不 过 ， 如 果 要 用 来 作为 计 
算 大 型 数值 模式 


的 应 用 ， 即 使 是 最 快 的 个 人 计算 机 ， 还 是 没有 办 法 有 效 的 负荷 的 。 此 时 
你 可 能 就 得 要 考 


虑 一 下 ， 是 要 买 超级 计算 机 (Top 500) 还 是 要 自己 组 一 部 PC 从 集 计算 
机 (PC 








cluster)。 


超级 计算 机 的 结构 中 ， 主 要 是 透 过 内 部 电路 将 好 多 颗 CPU 与 内 存 连接 
在 一 块 ， 因 


为 是 特殊 设计 ， 因 此 价格 非常 昂 贯 。 ”如 果 我 们 可 以 将 较 便 宜 的 个 人 计 
算 机 串 接 在 一 块 ， 


然后 将 数值 运算 的 任务 分 别 丢 给 每 一 部 串 接 在 一 块 的 个 人 计算 机 ， ” 那 
不 束 很 像 超 级 计 


算 机 了 吗 ? 没 错 ! 这 就 是 PC cluster 最 早 的 想法 。 


但 是 这 个 作法 当中 有 几 个 限制 哩 ， 因 为 每 部 计算 机 都 需要 运算 相同 的 程 
序 ， 而 我 们 


知道 运算 的 数据 都 在 内 存 当 中 ， 而 程序 局 动 时 需要 给 予 一 个 身份 ， 而 
程序 读 取 的 程序 


在 每 部 计算 机 上 面 都 需要 是 相同 的 ! 同时 ， 每 部 计算 机 都 需要 支持 平行 
化 运算 ! 所 以 ， 


在 PC cluster 上 面 的 所 有 计算 机 就 得 要 有 : 
相同 的 用 户 帐 户 信息 ， 包 括 账号 、 密 码 、 家 目录 等 等 一 大 堆 信 息 ; 














相同 的 文件 系统 ， 例 如 /home, /var/spool/mail 以 及 数值 程序 放置 的 位 
置 





可 以 搭配 的 平行 化 水 式 库 ， 和 常见 的 有 MPICH, PVM... 


上 面 的 三 个 项 目 中 ， 第 一 个 项 目 我 们 可 以 透 过 NIS 来 处 理 ， 第 二 个 项 目 
则 可 以 使 


用 NFS 来 搞定 一 所 以 嘿 ， 你 说 ， NIS 与 NFS 有 没有 可 使 用 的 空间 啊 ? 
和 人 入 


Tips: 
由 于 『 预 测 」 这 个 玩意 儿 越 来 越 重要 ， 比 如 说 气象 预报 、 空 气质 量 
预报 等 等 ， 而 预测 需要 一 个 很 庞大 的 模式 来 进行 仿真 的 工作 ， 这 么 
庞大 的 模拟 工作 需要 大 量 的 运算 ， 在 学 校 单 位 要 买 一 部 很 贵 的 大 型 
主机 实在 很 不 容易 ! 不 过 ， 如 果 能 够 串 接 十 部 四 核心 的 个 人 计算 机 
的 话 ， 那么 可 能 只 需要 不 到 20 万 便 能 够 组 成 相当 于 具有 40 颗 
CPU 的 大 型 主机 的 运算 能 力 了 ! 所 以 说 ， 在 未 来 PC cluster 是 一 
个 可 以 发 展 的 课题 喔 ! 











为 一 个 不 成 材 的 实例 
那 我们 有 没有 办 法 来 实 作 一 下 平行 化 的 丛 集 架构 呢 ? 老实 说 ， 很 麻烦 一 


不 过 ， 至 少 
我 们 可 以 先 完成 前 面谈 到 的 两 个 组 件 ! 分 别 是 NIS 与 NFS 嘛 ! 但 是 ， 
在 我 们 目前 这 


个 网 络 环境 中 ， 用 户 账号 实在 是 太 率 乱 了 一 所 以 ， 如 果 想 要 将 服务 峰 的 
/home 挂 载 到 





客户 端的 /home， 那 么 那个 测试 用 的 客户 端 可 能 很 多 本 地 用 户 部 无 法 登 
入 了 一 因此 ， 在 


这 个 测试 练习 中 ， 我们 打算 这 样 做 : 


账号 : 建立 大 于 2000 以 上 的 账号 ， 账 号 名 称 为 ”cluserl1， cluser2， 
cluser3 


(将 cluster user 缩写 为 cluser， 不 是 少 写 一 个 t 喔 ! )， 且 这 些 账号 的 家 目 
录 预 计 放 置 于 /home 目录 内 ， 以 与 NIS client 本 地 的 用 户 分 开 ; 
net.qiang(Ohotmail.com 

NIS 服务 器 : 领域 名 为 vbirdcluster， 服 务 器 是 www.centos.vbird 
(192.168.100.254)， 客 户 端 是 clientlinux.centos.vbird (192.168.100.10); 


NEFS 服务 器 : 服务 器 分 享 了 /rhome 给 192.168.100.0/24 这 个 网 域 ， 且 
预 


人 /cluster 目录 中 。 此 外 ,假设 所 有 客户 端 都 是 很 干 
净 也 


系统 ， 因 此 不 需要 压缩 客户 端 root 的 身份 。 
NFS 客户 端 : 将 来 目 server 的 文件 系统 都 挂 载 到 相同 目录 名 称 砌 下 ! 
那 束 分 别 来 实 作 一 下 哆 ! 








NIS 实 作 阶段 
# 工 . 建立 此 次 任务 所 需要 的 账号 数据 : 
[rootO@www~#mkdir /rhome 


[root@www ~]# useradd -u 2001 -d home/cluser1l cluserl 


[root@www ~]# useradd -u 2002 -d /rhome/cluser2 cluser2 
[root@www ~]# useradd -u 2003 -d /rhome/cluser3 cluser3 
[root@www ~]# echo password | passwd --stdin cluserl1 
[root@www ~]# echo password | passwd --stdin cluser2 
[root@www ~ 1# echo password | passwd --stdin cluser3 

# 2. 修改 NISDOMAIN 的 名 称 


[root@www ~]# vim /etc/sysconfig/network 





NISDOMAIN=vbirdcluster <== 重 点 在 改 这 个 项 目 喔 ! 


这 个 案例 中 ， 你 只 要 做 完 上 述 的 动作 残 即将 完成 了 ， 其 他 的 配置 文件 请 
参考 前 面 14.2 


节 所 谈 到 的 各 个 必要 项 目 。 接 下 来 当然 就 是 重新 启动 ypserv 以 及 制作 
数据 库 吵 ! 


# 3. 制作 数据 库 以 及 重新 局 动 所 需要 的 服务 : 








[root@www ~]# nisdomainname vbirdcluster 
[root@www ~]# /etc/init.d/ypserv restart 
[root@www ~|]# /etc/init.d/yppasswdd restart 
[root@www ~]# /usrlib64/yp/ypinit -m 


依 序 一 个 一 个 指令 下 达 ! 上 述 的 这 四 个 指令 稍微 有 相依 性 关系 的 ! 所 以 
不 要 错乱 了 顺序 


喔 ! 接 下 来 ， 请 换 到 客户 端 进行 : 


1. 以 setup 进行 NIS 的 设 定 ， 在 领域 的 部 分 请 转 为 vbirdcluster 才 对 ! 





2. 做 完 后 再 以 id cluserl 确认 看 看 。 
作法 太 简 单 了 ， 乌 哥 这 里 就 不 示 苑 哆 。 
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NFS 服务 器 的 设 定 

#1. 设 定 NFS 服务 器 开放 的 资源 : 
[root@www ~]# mkdir /cluster 

[root@www ~]# vim /etc/exports 

/rhome 192.168.100.0/24(rw,no_root_squash) 
/cluster 192.168.100.0/24(rw,no_root_squash) 
#2. 重新 局 动 NFS 吃 : 

[root@www ~]# /etc/init.d/nfs restart 
[root@www ~]# showmount -e localhost 
Export list for localhost: 

/rhome 192.168.100.0/24 

/cluster 192.168.100.0/24 

服务 右 的 设 定 是 很 单纯 的 一 客户 端的 设 定 得 要 注意 哆 ! 
#1. 设 定 NIS Client 的 mount 数据 ! 


[root@clientlinux ~]# mkdir /rhome /cluster 


[root@clientlinux ~]# mount -t nfs 192.168.100.254:/rhome /rhome 
[root@clientlinux ~]# mount -t nfs 192.168.100.254:/cluster /cluster 

# 如 果 上 述 两 个 指令 没有 问题 ， 可 以 将 他 加 入 /etc/rc.d/rc.local 当中 啊 ! 
[root(Oclientlinux ~]# su - cluser1 


[cluserl1@clientlinux ~]$ 


最 后 你 应 该 就 能 够 在 客户 端 以 cluserl 登入 系统 ! 就 这 么 简单 的 将 账号 
与 文件 系统 同 


步 做 完 啦 ! 如 果 你 真 的 想 要 玩 一 下 PC Cluster 的 话 ， 鸟 哥 也 有 写 过 一 篇 
不 是 很 成 熟 的 


PC cluster 简易 架设 ， 有 兴趣 的 话 请 目 行 参考 : 








http://linux.vbird.org/linux_ server/0600cluster.php 
14.5 重点 回顾 
Network Information Service (NIS) 也 可 以 称 为 Sun Yellow Pages (yp)， 


人 帮忙 NIS Client 端 查 寻 账 号 与 密码 以 及 其 他 相关 
网 络 


参数 的 服务 ; 
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NIS server 其 实 就 是 提供 本 身 的 /etc/passwd, /etc/shadow, /etc/group, 


/etc/hosts ”等 账 写 密码 数据 ， 以 及 相关 的 网 络 参 数 等 ， 以 提供 网 域 当 中 
NIS 


Client 的 搜寻 之 用 ; 





NIS 为 server/client 架构 ， 当 NIS client 有 账号 登入 需求 时 ， 该 主机 
会 (1) 先 找 上 自己 的 /etc/passwd, (2) 再 前 往 NIS server 搜寻 相关 账号 资料 。 


NIS 使 用 的 软件 就 是 yp 这 个 软件 ， 主 要 分 为 两 部 份 ， ypserv 用 在 
NIS 





Server， 至 于 ypbind 与 yp-tools 则 用 在 NIS Client 上 面 。 
为 加 快 NIS 查询 的 速度 ， 因 此 NIS server 会 将 本 机 的 账号 数据 制 成 传 


输 
较 快 的 数据 库 档 案 ， 并 放置 于 /var/yp/(nisdomainname)/ 目录 当中 ; 

不 论 是 NIS 或 者 是 NFS 都 是 厌 由 RPC Server 所 启用 的 ， 因 此 都 可 以 
使 用 
rpcinfo ”来 查寻 NIS 是 否 已 经 启动 ， 以 及 该 daemon 是否 已 经 同 
portmapper 
(RPC server) 注册 了 ! 


在 NIS Server 的 设 定 当中 ， 最 重要 的 一 个 步骤 就 是 将 账号 、 密 码 、 网 
络 参 


数 等 ASCII 格式 档案 转 成 数据 库 档 案 (database file)， 以 提供 NIS client 
的 


查寻 ! 而 启动 ASCII 转 成 database 的 程序 可 以 使 用 /usr/llib64/yp/ypinit 
-m 或 者 到 /var/yp 底下 执行 make 均 可 。 


由 于 NIS 通常 使 用 于 内 部 网 域 当 中 ， 因 此 /etc/hosts 这 个 档案 的 设 定 
相 


当 重 要 ! 


ee NIS 管辖 的 主机 登入 都 可 以 使 用 同一 份 家 目 
孙 ， 见 





需 开 启 NFS 提供 /home 给 所 有 的 主机 挂 载 使 用 ; 
14.6 本 草 习 题 

请 简单 说 明 NIS server 的 功能 与 工作 流程 
和 
人 
验证 。 流 程 如 下 : 
1. NIS Server 将 自己 系统 内 的 /etc/passwd, /etc/group， 
/etc/hosts 等 制作 成 为 DBM 的 数据 库 格 式 档案 ; 
2. NIS Client 硅 有 用 户 登 入 的 要 求 时 ， 会 前 往 NIS Server 搜寻 数据 
库 里 面 的 数据 做 为 验证 之 用 。 
3. 每 次 更 动 NIS Server 上 面 的 用 户 数据 时 ， 则 NIS Server 需要 重新 
制作 DBM 数据 库 档 案 才 行 ! 

请 简单 说 明 NIS Server/client 的 架构 
NIS masterclient 的 特色 为 : 
1. NIS Server 的 master 先 将 自己 的 账号 、 密 码 相 关 档 案 制 作成 为 数 
据 库 档案 (database file); 
2. NIS Server 的 master 将 自己 的 数据 库 档 案 传送 到 slave 上 面 ; 
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3. NIS Server 的 slave 接收 来 自 『 信 任 的 NIS Server master 主机 ] 


的 数据 后 ， 更 新 自己 的 数据 库 ， 使 自己 的 数据 库 与 master 主机 的 数据 同 


1 
ZJ ; 


4. 网 域 当中 的 所 有 NIS Client 查寻 NIS Server 时 ， 会 找寻 『 最 先 响 
应 的 那 一 部 NIS 主机 的 数据 库 内 容 」。 
也 就 是 说 ， 架 设 slave NIS server 可 以 分 担 区 域内 NIS 的 工作 ! 


NIS 局 动 之 前 需要 先 局 动 那个 服务 ， 人 否则 就 无 法 启动 成 功 (提示 : 
RPC 


Server) 
因为 NIS 是 RPC Server 的 一 种 ， 所 以 必须 要 局 动 rpcbind 这 个 daemon 
HT 

我 的 NIS 域名 为 bird ， 另 外 ， 我 主机 的 卫 与 主机 名 为 
192.168.5.1/bird.nis.org ， 请 问 要 这 些 信息 需要 设 定 在 NIS Server 的 哪些 
档案 之 内 ? 
域名 可 以 直接 手动 下 达 『 nisdomainname bird 」 也 可 以 写 入 


/etc/sysconfig/network 里 面 TNISDOMAIN=bird」; IP 与 主机 名 需要 写 








在 /etc/hosts 里 面 。 


/etc/nsswitch.conf 的 功能 为 何 ? 如 果 我 想 要 让 密码 查寻 先 本 地 的 密码 
件 ， 再 查寻 NIS ， 需 要 如 何 设 定 ? 


该 档案 的 功能 很 多 ， 在 DNS 方面 ， 可 以 用 来 决定 正 、 反 解 的 顺序 ， 至 
于 密 


码 则 可 以 用 来 判断 何者 为 先 ! 如 采 需 要 先 碍 本 机 再 查 NIS 的 密码 时 ， 需 
要 的 参 


数 : 
passwd: files nis 


shadow: files nis 


如 果 我 想 要 增加 网 域 当中 一 个 新 的 账号 : newaccount， 并 且 这 个 


newaccount 
可 以 让 NIS Client 查寻 到 他 的 账号 与 密码 ， 需 要 进行 哪些 步骤 ? 


1. 先 登 入 NIS Server 以 useradd newaccount 以 及 passwd 





newaccount 来 新 增 账 号 ; 
2. 制作 密码 数据 库 : 『/usr/lib64/yp/ypinit -mj 
3. 重新 启动 : 『/etc/rc.d/init.d/ypserv restart ; 
/etc/rc.d/init.d/yppasswdd restart| 。 
实 作 范例 题 : 底下 是 我 的 网 域 参数 特征 : 
network/netmask:192.168.1.0/255.255.255.0 
NIS server : 192.168.1.100 (hostname: server.nis.test) 
NIS cient: 192.168.1.200 (hostname: client1.nis.test) 
NIS domain name: nis.test 
利用 上 面 的 参数 来 设 定 NIS 架构 ， 请 一 步 一 步 的 写 下 你 的 设 定 。 
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请 自行 参考 本 章节 的 内 容 设 定 
14.7 参考 数据 与 延伸 阅读 
Study Area 之 NIS 服务 器 架设 : 


http://www.study-area.org/linux/servers/linux_nfs.htm 





NIS HOW-TO: http://www .linux-nis.org/nis-howto/HOWTO/index.html 
2003/05/06: 第 一 次 完成 日 期 ! 

2003/09/16: 稍微 加 入 一 些 信 息 与 微 幅 修改 版 面 ! 

2006/09/22: 将 旧 的 文章 移动 到 此 处 


2006/10/11: 啊 ! 过 了 好 久 了 ! 修改 过 程 当中 历经 搬家 ， 所 以 文章 产生 
较 慢 啊 ! 这 次 多 





加 入 NIS slave server 说 ! 
2011/03/13: 将 旧 的 基于 CentOS 4.x 的 版 本 移动 到 此 处 


2011/03/16: 因为 NIS 快要 被 LDAP 取代 ， 所 以 将 比较 复杂 的 slave 部 
分 删 去 了 一 


2011/07/28: 将 基于 CentOS 5.x 的 版 本 移动 到 此 处 
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第 十 五 音 、 时 间 服 务 器 : NTP 
最 近 更 新 日 期 : 2011/07/29 
计算 机 内 部 所 记录 的 时 钟 是 记载 于 BIOS (CMOS) 内 的 ， 但 如 果 你 的 计 


算 机 上 面 的 电池 没 电 了 ， 或 者 是 某 


些 特殊 因素 导致 BIOS 数据 被 清除 ， 此 时 计算 机 的 时 间 惑 会 不 准 。 同 
时 ， 某 些 操作 系统 程序 的 问题 ， 也 


可 能 导致 我 们 看 到 的 时 间 与 现实 社会 不 相同 的 情况 。 ”所 以 我 们 都 会 调 
整 一 下 时 间 ， 好 让 计算 机 系统 的 时 


间 可 以 一 直 保 持 正确 的 状态 。 ”在 实际 生活 中 ， 我 们 可 以 透 过 电视 台 、 
广播 电台 、 电 话 等 等 来 调整 我 们 的 


手表 ， 那 么 如 果 是 在 网 络 上 呢 ? ”该 如 何 让 我 们 的 主机 随时 保持 正确 的 
时 间 信 息 ? 这 就 需要 NTP 这 个 服 








15.1.4 NTP 通讯 协议 


15.1.5 NTP 绒 的 险 层 概念 








15.2.2 了 人 件 ntp.conf 的 处 性 


15.2.3 NTP 的 启动 与 观察 ;_ ntpstat, ntpq 


15.2.4 安全 性 设 定 





15.3.1 Linux 手动 校 时 工作 :; date, hwclock 








15.1 关于 时 区 与 网 络 校 时 的 通讯 协议 


时 间 对 于 现代 人 来 说 是 很 重要 的 ， 因 为 『 Time is money 」。 既 然 时 间 
如 此 重要 ， 





对 于 因特网 来 说 应 该 也 是 很 重要 吧 ? ”为 什么 呢 ? 还 记得 我 们 在 基础 学 
习 篇 第 三 版 第 | 
九 草 、 登 录 档 分 析 吧 ? 如果 你 架设 了 一 个 登录 档 服务 器 的 话 ， 那 么 总 


得 要 分 析 每 个 主 


机 所 传 来 的 登录 文件 信息 吧 ? 如 采 每 一 部 主机 的 时 间 都 不 相同 ，“ 那 如 
何 判断 问题 发 生 


的 时 间 点 ?所 以 哆 ，『 每 一 部 主机 的 时 间 同 步 化 」 束 很 重要 了 。 


每 一 部 主机 时 间 同 步 化 的 重要 性 当然 不 只 如 此 ， 包 括 之 前 谈 到 的 DHCP 
客户 端 / 服 


务 器 端 所 需要 的 租约 时 间 限 制 、 ”网络 侦 测 时 所 需要 注意 的 时 间 点 、 刚 
刚 谈 到 的 登录 文 


net.qiang(Ohotmail.com 


0 








Ht 


3 ™ 人 
1 y 
- ‘ , 二 \ 
1 r a 
1 1 ' ' ® Y 
二 人 1 \ ' 
* 1 站 
4 2 1 - 1 1 
- 1 
vv yg 3 1 4 
， PS 0 * ' g 
ee , 9 1 ' 
人 . 
Ls | ~ 
We Nf 
4 
-一 


件 分 析 功 能 、 具 有 相关 性 的 主机 彼此 之 间 的 错误 侦 测 、 前 一 章 谈 到 的 从 
集 计算 机 群 等 等 ， 


都 需要 具有 相同 的 时 间 才 能 够 捉 出 问题 呢 。 好 了 ， 底 下 咀 们 就 来 聊 一 
聊 ， 如 何 利用 网 络 


来 进行 主机 的 时 间 同 步 化 吧 ! 
15.1.1 什么 是 时 区 ? 全 球 有 多 少时 区 ? GMT 在 那个 时 区 ? 


因为 地 球 是 圆 的 ， 所 以 同一 个 时 刻 ， 在 地 球 的 一 边 是 白天 ， 一 边 是 黑 
夜 。 而 因为 人 


类 使 用 一 天 24 小 时 的 制度 ， 所以， 在 地 球 对 角 的 两 边 就 应 该 差 了 12 个 
小 时 才 对 。 由 


于 同一 个 时 间 点 上 面 ， ”整个 地 球 表面 的 时 间 应 该 都 不 一 样 ， 为 了 解决 
这 个 问题 ， 所 以 


可 以 想见 的 ， 地 球 束 被 分 成 24 个 时 区 了 ! 


那么 这 ”24 个 时 区 是 依据 什么 来 划分 的 呢 ? 由 于 地 球 修 人 类 以 『 经 第 
度 」 坐标 来 进 


行 定 位 ， ”而 经 度 为 零 的 地 点 在 英国 『 格 林 威 治 」 这 个 城市 所 在 的 纵 剖 
面 上 ， ( 注 : 所 


























谓 的 纵 谢 面 就 是 由 南极 切 到 北极 的 直线 ， 而 横 切 面 就 是 与 亦 关 平行 的 切 
线 )， 如 下 图 所 


示 : 
图 15.1-1、 地 球 的 子午 线 、 经 纬度 与 时 区 的 分 隔 概念 


因为 绕 地 球 一 圈 是 360 度 角 ， 这 360 度 角 共 分 为 24 个 时 区 ， 当 然 一 个 
时 区 就 是 


15 度 角 啦 ! 又 由 于 是 以 格林 威 治 时 间 为 标准 时 间 (Greenwich Mean 
Time, GMT 时 间 )， 


加 上 地 球 目 转 的 关系 ， 因 此 ， 在 格林 威 治 以 东 的 区 域 时 间 是 比较 快 的 
(+ 小 时 )， 而 以 西 


的 地 方 当然 就 是 较 慢 吃 ! 


以 合 湾 为 例 ， 因 为 台湾 所 在 地 约 为 东经 120 上 度 北纬 25 度 左右 ， 又 因为 
台湾 在 格 


林 威 治 的 东方 (废话 ! 因为 是 东经 嘛 ! 人 ^ 人 ^)， 因 此 台湾 本 地 时 间 (local 


time) 会 比 


GMT 时 间 快 8 小 时 (GMT + 8)。 当 格林 威 治 时 间 为 零点 ， 人 台湾 残 已 经 是 
早上 上 八 应 了 了 1 


底下 约略 列 出 各 个 时 区 的 名 称 与 所 在 经 度 ， 以 及 与 GMT 时 间 的 时 差 : 
标准 时 区 

经 度 

时 差 
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GMT , Greenwich Mean Time 


0 W/E 

标准 时 间 

CET , Central European 
15E 

+1 东 一 区 

EET , Eastern European 
30FE 

+2 东 二 区 

BT , Baghdad 

45 下 

+3 东 三 区 


USSR, Zone 3 


60 下 

+4 东 四 区 

USSR, Zone 4 

75E 

+5 东 五 区 

Indian, First 

82.3E 
+5.5 东 五 半 区 
USSR, Zone 5 

90 下 

+6 东 六 区 

SST , South Sumatra 
105E 

+7 东 七 区 

JI , Java 

112E 
+7.5 东 七 半 区 
CCT , China Coast (台湾 所 在 地 ) 
120E 


+8 东 八 区 


JST , Japan 

135E 

+9 东 九 区 

SAST, South Australia 
142E 

+9.5 东 九 半 区 

G9T , Guam 

150E 

+10 东 十 区 


NZT, New Zealand 


180FE 

+12 东 十 二 区 
国际 日 期 变更 
Intl Date Line 
180 E/W 

线 

BST , Bering 
165 W 

-11 西 十 一 区 


SHST, Alaska/Hawaiian 


150 W 
-10 西 十 区 
YST, Yukon 
135 W 

-9 西 九 区 
PST , Pacific 
120 W 

-8 西 八 区 
MST , Mountain 
105 W 

-7 西 七 区 
CST , Central 
90W 

-6 西 六 区 
EST , Eastern 
75 W 

-5 西 五 区 
AST , Atlantic 
60 W 

-4 西 四 区 


Brazil, Zone 2 

45 W 

-3 本 三 区 

AT, Azores 

30W 

-2 西 二 区 

WAT ,West Africa 
15 W 

-1 西 一 区 


所 以 哆 ， 人 台湾 时 间 是 GMT + 8 就 很 容易 推算 出 来 了 吧 ! 要 特别 留意 的 
是 ， 很 多 朋 


友 在 安装 Linux 的 时 候 ， 总 是 会 及 现 目 前 的 时 间 慢 或 者 快 了 8 小时， 不 
要 怀疑 ， 缀 


对 与 时 区 有 关 ! 赶紧 给 他 碍 一 下 如 何 调整 时 区 吧 ! 人 和信。 
net.qiang@hotmailcom 
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另外 ， 在 上 表 中 有 个 比较 有 趣 的 时 区 ， 那 就 是 在 太平 洋 上 面 的 国际 日 期 
变更 线 了 ! 


我 们 刚刚 说 ， 在 格林 威 治 的 东边 时 间 会 较 快 ， ”而 在 西边 时 间 会 较 慢 ， 
但 是 两 边 各 走 了 


180 上 度 之 后 就 会 碰头 啊 ! 那 不 束 刚好 差 了 24 小 时 吗 ? 没 错 啦 ! 所 以 才 











订 定 为 【国际 


日 期 变更 线 」 啊 ! 国际 日 期 变更 线 刚好 在 太平 洋 上 面 ， 因 此 ， 如 果 你 有 
坐 飞机 到 美国 的 


经 验 应 该 会 发 现 ， 距 ! 怎么 出 发 的 时 间 是 星期 六 下 午 ， 坐 了 13 个 小 时 
的 飞机 到 了 美 


国 还 是 星期 六 ! 因为 刚好 通过 了 国际 日 期 变更 线 ， 日 期 减少 了 一 天 
喔 ! 如 果 反 过 来 ， 


由 美国 到 人 台湾， 日 期 就 会 多 加 一 天 喔 ! 和信 
15.1.2 什么 是 夏季 节约 时 间 (daylight savings)? 


时 区 的 概念 先 建立 起 来 之 后 ， 现 在 再 来 谈 一 谈 ， 那 么 什么 是 『 夏 季节 约 
时 间 (或 称 


日 光 节 约 时 间 )」 ? 既然 是 『 夏 季节 约 时 间 」 当然 主要 是 与 夏天 有 关 
啦 ! 因为 地 球 在 运 


行 的 时 候 是 呈现 一 个 倾斜 角 在 绕 太 阳 运 转 的 ， 所 以 才 有 春 夏 秋冬 (这 个 
大 家 应 该 都 知道 


啦 )， 在 夏天 的 时 候 ， 和 白天 的 时 间 会 比较 长 ， 所 以 为 了 节约 用 电 ， 因此 
在 夏天 的 时 候 菏 


些 地 区 会 将 他 们 的 时 间 定 早 一 小 时 ， 也 就 是 说 ， 原 本 时 区 是 8 点 好 了 ， 
但 是 因为 夏天 


太阳 比较 早出 现 ， 因 此 把 时 间 向 前 挪 ， 在 原本 8 点 的 时 候 ， 订 定 为 该 天 
的 9 点 (时 间 


提早 一 小 时 ) 一 如 此 一 来 ， 我 们 就 可 以 利用 阳光 照明 ， 省 去 了 花费 电力 
的 时 间 ， 因 此 才 


会 称 之 为 夏季 节约 时 间 ! 
因为 台湾 实在 是 太 小 了 ， 并 没有 横 跨 两 个 时 区 ， 因 此 ， 夏 季节 约 时 间 对 























我 们 来 说 ， 
虽然 还 是 有 帮助 啦 ! 不 过 ， 似 乎 没有 特别 推行 的 样子 说 一 
15.1.3 Coordinated Universal Time (UTC) 与 系统 时 间 的 误差 


了 解 了 一 些 时 区 的 概念 之 后 ， 这 里 要 谈 的 是 [什么 是 正确 的 时 间 」。 
在 1880 年 


代 的 时 间 标 准 是 以 GMT 时 间 为 主 的 ， 但 是 GMT 时 间 是 以 太阳 通过 格 
林 威 治 的 那 一 刻 来 


作为 计时 的 标准 。 “然而 我 们 都 知道 啊 ， 地 球 目 转 的 轨道 以 及 公转 的 轨 
道 并 非 正 圆 ， 加 


上 地 球 的 目 转速 度 好 像 有 逐年 递减 的 问题 ， 所 以 这 个 GMT 时 间 与 我 们 
目前 计时 的 时 间 


就 有 点 不 一 样 了 。( 注 了 


在 计算 时 间 的 时 候 ， 最 准确 的 计算 应 该 是 使 用 『 原 子 震 荡 周 期 所 计算 
的 物理 时 钟 


了 人 (Atomic ”Clock， 也 被 称 为 原子 钟 )， 这 也 被 定义 为 标准 时 间 


(International Atomic 





Time)。 而 我 们 常常 看 见 的 UTC 也 就 是 Coordinated Universal Time ( 协 
和 标准 时 间 ) 


就 是 利用 这 种 Atomic Clock 为 基准 所 定义 出 来 的 正确 时 间 。 例 如 1999 
年 在 美国 启用 


的 原子 钟 NIST F-1， 他 所 产生 的 时 间 误 差 每 两 千年 才 差 一 秒 钟 ! 真 的 
是 很 准 响 ! 这 个 


UTC 标准 时 间 虽 然 与 GMT 时 间 放 在 同一 个 时 区 为 基准 ， 不 过 由 于 计 
时 的 方式 不 同 ，UTC 


时 间 与 GMT 时 间 有 差不多 16 分 钟 的 误差 呢 ! ( 注 2 
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I 边 就 有 很 多 的 原子 钟 ， 例 如 石英 表 ， 还 有 计算 机 主 


BIOS 内 部 就 含有 一 个 原子 钟 在 纪录 与 计算 时 间 的 进行 响 ! 不 过 由 于 原 
子 钟 主要 是 利用 


计算 必 片 (crystal) 的 原子 震荡 周期 去 计时 的 ， 这 是 因为 每 种 心 片 都 有 目 
己 的 独特 的 


震荡 周期 之 改 。 ”然而 因为 这 种 必 片 的 震 沪 周 期 在 不 同 的 必 片 之 间 多 多 
少 少 都 会 有 点 差 


居住 ， 甚至 同一 批 蕊 片 也 可 能 会 或 多 或 少 有 些许 的 差异 (就 连 温 上 度 也 可 
能 造成 这 样 的 误 


因此 也 就 造成 了 BIOS 的 时 间 会 经 名 的 给 他 快 了 几 秘 或 者 慢 了 几 
丰 


消 。 











或 许 你 会 认为 ，BIOS 定时 器 每 天 快 个 五 秒 也 没有 什么 了 不 起 的 ， 不 过 
如 果 你 再 仔 


细 的 算 一 算 ， 会 发 现 ， 一 天 快 五 秒 ， 那 么 一 个 月 快 2.5 分 钟 ， 一 年 就 快 
了 75 分 钟 了 ! 


所 以 说 ， 呵 呵 ! 时 间 差 是 真 的 会 存在 的 ! 那么 如 果 你 的 计算 机 真 的 有 这 
样 的 情况 ， 那 


怎么 来 重新 校正 时 间 呢 ? 那 就 需要 『 网 络 校 时 」 (Network Time 
ae NTP) 的 


功能 了 ! 底下 我 们 就 谈 一 谈 那 个 NTP 的 daemon 吧 ! 
15.1.4 NTP 通讯 协议 


老实 说 ， Linux 操作 系统 的 计时 方式 主要 是 由 1970/01/01 开始 计算 总 秒 








数 ， 


此 ， 如 果 你 还 记得 date 这 个 指令 的 话 ， 会 发 现 它 有 个 +%s 的 参数 ， 可 
以 取得 总 秒 数 ， 


这 个 就 是 软件 时 钟 。 但 ， 如 同 前 面 说 的 ， 计 算 机 硬件 主要 是 以 BIOS 内 
部 的 时 间 为 主要 


的 时 间 依 据 (硬件 时 钟 )， 而 偏偏 这 个 时 间 可 能 因为 BIOS 内 部 必 片 本 丑 
的 问题 ， 而 导 


致 BIOS 时 间 与 标准 时 间 (UTC) 有 一 点 点 的 差异 存在 ! 所 以 为 了 避免 主 
机 时 间 因 为 长 


期 运作 下 所 导致 的 时 间 偏 差 ， 进 行 时 间 同 步 (synchronize) 的 工作 就 显 的 
很 重要 了 ! 


软件 时 钟 :， 由 Linux 操作 系统 根据 1970/01/01 开始 计算 的 总 秒 数 ; 
硬件 时 钟 : 主机 硬件 系统 上 面 的 时 钟 ， 例 如 BIOS 记录 的 时 间 ; 
那么 怎么 让 时 间 同 步 化 昵 ? 想 一 想 ， 如 果 我 们 选择 几 部 主要 主机 


(Primary server) 


调 校 时 间 ， 让 这 些 Primary Servers 的 时 间 同 步 之 后 ， 再 开放 网 络 服务 来 
让 Client 端 

联机 ， 并 且 提 供 Client 端 调整 自己 的 时 间 ， 不 束 可 以 达到 全 部 的 计算 机 
时 间 同 步 化 的 


运作 了 吗 ! 那么 什么 协议 可 以 达到 这 样 的 功能 呢 ? 那 就 是 Network Time 


Protocol ， 








另外 还 有 Digital Time Synchronization Protocol (DTSS) 也 可 以 达到 相同 
的 功能 ! 


不 过 ， 到 底 NTP 这 个 daemon 是 如 何 让 Server 与 Client 同步 他 们 的 时 间 
呢 ? 


1. 首先 ， 主 机 当然 需要 启动 这 个 daemon ， 之 后 ， 
2. Client 会 同 NTP Server 发 送出 调 校 时 间 的 message ， 
3. 然后 NTP Server 会 送出 目前 的 标准 时 间 给 Client ， 


4. Client 接收 了 来 自 Server 的 时 间 后 ， 会 据 以 调整 自己 的 时 间 ， 融 达成 
了 


网 络 校 时 咯 ! 


0 那 就 是 如 果 Client 到 Server 的 
讯 忆 


送 时 间 过 长 怎么 办 ? 举例 来 说 ， 我 在 台湾 以 ADSL 的 PC 主机 ， 联 机 到 
美国 的 NTP 


Server 主机 进行 时 间 同 步 化 要 求 ， 而 美国 NTP Server 收 到 我 的 要 求 之 
后 ， 就 发 送 当 


时 的 正确 时 间 给 我 ， 不 过 ， 由 美国 将 数据 传送 回 我 的 PC 时 ， 时 间 可 能 
己 经 延迟 了 10 
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秒 钟 去 了 ! 这 样 一 来 ， 我 的 PC 校正 的 时 间 是 10 秒 钟 前 的 标准 时 间 
喔 ! 此 外 ， 如 果 美 


国 那么 NTP 主机 有 太 多 的 人 喜欢 上 去 进行 网 络 校 时 了 ， 所 以 loading 
( 负 奏 ) 太 重 啦 ! 


导致 讯 奶 的 回 传 义 延迟 的 更 为 严重 ! 那 怎 么 办 ? 


为 了 这 些 延 迟 的 问题 ， 有 一 些 program 已 经 开发 了 自动 计算 时 间 传 送 过 
程 的 误差 ， 


以 更 准确 的 校准 自己 的 时 间 ! 当然 啦 ， 在 daemon 的 部 分 ， 也 同时 以 





server/client 及 


master/slave 的 架构 来 提供 用 户 进行 网 络 校 时 的 动作 ! 所 谓 的 
master/slave 就 有 点 


类 似 DNS 的 系统 咯 ! 举例 来 说， 台湾 的 标准 时 间 主 机 去 国际 标准 时 间 
的 主机 校 时 ， 然 


后 各 大 专 院 校 再 到 台湾 的 标准 时 间 校 时 ， 然 后 我 们 再 到 各 大 专 院 校 的 标 
准时 间 校 时 ! 这 


样 一 来 ， 那 几 部 国际 标准 时 间 主 机 (Time server) 的 loading 就 不 至 于 大 
大 ， 而 我 们 


也 可 以 很 快速 的 达到 正确 的 网 络 校 时 的 目的 呢 ! 台湾 稍 见 的 Time 
Server 有 ( 注 3): 


tick.stdtime.gov.tw 
tock.stdtime.gov.tw 
time.stdtime.gov.tw 
clock.stdtime.gov.tw 


watch.stdtime.gov.tw 


至 于 ntp 这 个 daemon 是 以 port 123 为 连结 的 塌 口 (使 用 UDP 封包 )， 所 
以 我 





| Time server 来 进行 时 间 的 同步 更 新 时 ， 就 得 要 使 用 NTP 软件 
外遇 


ntpdate 来 进行 port 123 的 联机 喔 ! 关于 网 络 校 时 更 多 的 说 明 ， 可 以 到 
NTP 的 官方 


网 站 ( 注 4) 上 察看 喔 ! 
15.1.5 NTP 服务 器 的 阶层 概念 





如 前 所 述 ， 由 于 NTP 时 间 服 务 器 采用 类 似 阶 层 架 构 (stratum) 来 处 理 时 
间 的 同步 


化 ， 所 以 他 使 用 的 是 类 似 一 般 server/dlient 的 主 从 架构 。 网 络 社会 上 面 


有 提供 一 些 


主要 与 次 要 的 时 间 服 务 器 ， 这些 均 属 于 第 一 阶 及 第 二 阶 的 时 间 服 务 需 


(stratum-1, 
stratum-2) ， 如 下 所 示 : 
主要 时 间 服 务 器 : 
http://support.ntp.org/bin/view/Servers/StratumOneTimeServers 
次 要 时 间 服 务 堪 : 
http://support.ntp.org/bin/view/Servers/Stratum TwoTimeServers 


由 于 这 些 时 间 服 务 嚣 大 多 在 国外 ， 所 以 我 们 是 否 要 使 用 这 些 服 务 占 来 同 
步 化 自己 的 


时 间 呢 ? 其 实 如 果 人 台湾 地 区 已 经 有 标准 时 间 服 务 占 的 话 ， 用 那 部 即 
可 ， 不 需要 联机 到 


国外 啦 ! 浪费 带宽 与 时 间 啊 ! ”而 如 前 面 提 到 的 ， 台 湾 地 区 已 经 有 标准 
的 时 间 服 务 器 了 ， 


所 以 当然 我 们 可 以 直接 选择 台湾 地 区 的 NTP 主机 即 可 。 


如 果 你 评估 一 下 ， 确 定 有 架设 NTP 的 需求 时 ， 我 们 可 以 直接 选择 台湾 
地 区 的 上 层 


NTP 来 同步 化 时 间 即 可 。 举例 来 说 tock.stdtime.gov.tw 这 个 国家 单位 的 
主机 应 该 是 
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比较 适合 的 。 一 般 来 说 ， 我 们 在 进行 NTP 主机 的 设 定 时 ， 都 会 先 选择 
多 部 上 层 的 Time 


Server 来 做 为 我 们 这 一 部 NTP Server 的 校正 之 用 ， 选 择 多 部 的 原因 是 因 
为 可 以 避免 


因为 茶 部 时 间 服 务 器 突然 挂 点 时 ， 其 他 主机 仍然 可 以 提供 我 们 的 “NTP 
主机 来 自我 更 新 


啊 ! 然后 我 们 的 NTP Server 才 提 供给 自己 的 Client 端 更 新 时 间 。 如 此 一 
来 ， 国 家 单 


位 的 tock.stdtime.gov.tw 负载 才 不 会 太 大 ， 而 我 们 的 Client 也 可 以 很 快 
速 的 达到 


校 时 的 动作 ! 





Tips: 

其 实 NTP 的 阶层 概念 与 DNS 很 类 似 啦 ， 当 你 架设 一 部 NTP 主机 ， 
这 部 NTP 所 同上 要 求 同 步 化 的 那 部 主要 主机 为 stratum-1 时 ， 那 
么 你 的 NTP 就 是 stratum-2 哆 ! 举例 来 说 ， 如 果 我 们 的 NTP 是 向 
台湾 的 tock.stdtime.gov.tw 这 部 stratum-2 的 主机 要 求 时 间 同 


步 化 ， 那 我 们 的 主机 即 为 stratum-3 ， 如 果 还 有 其 他 的 NTP 主机 


问 我 们 要 求 时 间 同 步 ， 那么 该 部 主机 则 会 是 stratum-4 啦 ! 就 这 
样 啊 ~ 那 最 多 可 以 有 几 个 阶层 ? 最 多 可 达 15 个 阶层 喔 ! 
15.2 NTP 服务 器 的 安装 与 设 定 


NTP 服务 费 也 是 一 个 很 容易 就 可 以 架设 成 功 的 玩意 儿 ， 不 过 这 个 软件 在 
不 同 的 


distribution 上 面 可 能 有 不 一 样 的 名 称 ， 你 要 作 的 其 实 就 是 将 他 安装 起 来 
之 后 ， 规 定 


一 部 上 层 NTP 服务 器 来 同步 化 你 的 时 间 即 可 啊 ! 如 果 你 只 是 想 要 进行 
你 自己 单 部 主机 


的 时 间 同 步 化 ， 别 架设 NTP ， 直 接 使 用 NTP 客户 端 软件 即 可 喔 ! 
15.2.1 所 需 软件 与 软件 结构 


在 CentOS 6.x 上 头 ， 你 所 需要 的 软件 其 实 仅 有 ntp 这 个 玩意 儿 而 已 ， 请 
自行 使 


用 rpm 去 找 找 看 ， 知 没有 安装 ， 请 利用 yum install ntp 即 可 啊 ! 不 过 ， 


我 们 还 需要 
时 区 相关 的 数据 文件 ， 所 以 你 需要 的 软件 有 : 
ntp: 就 是 NTP 服务 器 的 主要 软件 啦 ， 包 括 配 置 文件 以 及 执行 档 等 








tzdata: 软件 名 称 为 『 了 Time Zone data 」 的 缩写 ， 提 供 各 时 区 对 应 的 
显 
示 格 式 。 


与 时 间 及 NTP 服务 器 设 定 相 关 的 配置 文件 与 重要 数据 文件 有 底下 几 
ber 


/etc/ntp.conf: ”就 是 NTP 服务 器 的 主要 配置 文件 ， 也 是 唯一 的 一 个 ; 





/usr/share/zoneinfo/: 由 tzdata 所 提供 ， 为 各 时 区 的 时 间 格 式 对 应 档 。 
例如 台湾 地 区 的 时 区 格式 对 应 档案 在 /usr/share/zoneinfo/Asia/Taipei 就 是 
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人 (clock 与 localtime) 是 


系 的 喔 ! 


/etc/sysconfig/clock:” 设 定时 区 与 是 否 使 用 UTC 时 间 钟 的 配置 文件 。 
每 


Linux 会 目 动 的 恋 取 这 个 档案 来 设 定 目 己 系 统 押 默认 要 显示 的 
时 间 说 ! 


淮 个 例子 来 讽 ， 在 我 们 台湾 地 区 的 本 地 时 间 设 定 中 ， 这 个 档案 内 应 该 
会 出 现 一 


行 『ZONE="Asia/Taipei"」 的 字样 ， 这 表示 我 们 的 时 间 配 置 文件 案 『 要 


/usr/share/zoneinfo/Asia/Taipei 那个 档案 」 的 意思 ! 


/etc/localtime: 这 个 档案 就 是 『 本 地 端的 时 间 配 置 文件 」 啦 ! 刚刚 那 
> 
| 


clock 档案 里 面 规定 了 使 用 的 时 间 配 置 文件 (ZONE) 为 
/usr/share/zoneinfo/Asia/Taipei ， 所 以 说 这 就 是 本 地 端的 时 间 了 ， 此 时 


Linux 系统 束 会 将 Taipei 那个 档案 复制 一 份 成 为 /etc/localtime ， 所 以 未 
来 


我 们 的 时 间 显 示 就 会 以 Taipei 那个 时 间 配 置 文件 案 为 准 。 
至 于 在 常用 于 时 间 服 务 器 与 修改 时 间 的 指令 方面 ， 主 要 有 底下 这 几 个 


啦 : 


/bin/date: 用 于 Linux 时 间 (软件 时 钟 ) 的 修改 与 显示 的 指令 ; 
/sbin/hwclock: 用 于 BIOS 时 钟 (硬件 时 钟 ) 的 修改 与 显示 的 指令 。 这 


是 一 个 root 才能 执行 的 指令 ， 因 为 Linux 系统 上 和 面 BIOS 时 间 与 Linux 


局 、\ 一 


时 间 是 分 开 的 ， 所 以 使 用 date 这 个 指令 调整 了 时 间 之 后 ， 还 需要 使 用 


hwclock 
才能 将 修改 过 后 的 时 间 写 入 BIOS 当中 ! 

/usr/sbin/ntpd: 主要 提供 NTP 服务 的 程序 嘿 ! 配置 文件 为 
/etc/ntp.conf 


/usr/sbin/ntpdate: ”用 于 客户 端的 时 间 校 正 ， 如 果 你 没有 要 启用 NTP 
而 


仅 想 要 使 用 NTP Client 功能 的 话 ， 那 么 只 会 用 到 这 个 指令 而 已 啦 ! 
例题 : 


假设 你 的 笔记 本 电脑 安装 CentOS 这 和 套 系统 ， 而 且 选 择 的 时 区 为 台湾 。 
现在 ， 


你 将 有 一 个 月 的 时 间 要 出 差 到 美国 的 纽约 去 ， 你 会 带 着 这 个 笔 电 ， 那 么 
到 了 美国 之 


后 ， 时 间 会 不 一 致 啊 ! 你 该 如 何 手动 的 调整 时 间 参 数 呢 ? 
答 : 


因为 时 区 数据 文件 在 /usr/share/zoneinfo 内 ， 在 该 目录 内 会 找到 


/usrshare/zoneinfo/America/New_York 这 个 时 区 档 。 而 时 区 配置 文件 在 








/etc/sysconfig/clock ， 且 目前 的 时 间 格 式 在 /etclocaltime ， 所 以 你 应 该 这 
样 


做 : 

[root@www ~]# date 

Thu Jul 28 15:08:39 CST 2011 <== 重 点 是 CST 这 个 时 区 喔 ! 
[root@www ~]# vim /etc/sysconfig/clock 

ZONE="America/New_York" <== 改 的 是 这 里 啦 ! 
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0 

[root@www ~]# cp /usr/share/zoneinfo/America/New_York /etc/localtime 
[root@www ~]# date 

Thu Jul 28 03:09:21 EDT 2011 <== 时 区 与 时 间 都 改变 了 ! 


这 个 范例 做 完 之 后 ， 记 得 将 这 两 个 档案 改 回来 ! 不 然 以 后 你 的 时 间 都 是 
美国 时 间 啦 ! 


接 下 来 ， 我 们 先 来 谈 一 谈 如 何 设计 那个 /etc/ntp.conf 吧 ! 
15.2.2 主要 配置 文件 ntp.conf 的 处 理 


四 于 _NTP 服务 器 的 设 定 需要 有 二 洲 服 务 器 的 支持 才 行 ， 因 此 请 回头 参 
= 


15.1.4 及 _15.1.5 的 介绍 ， 这 样 才 能 够 理解 为 何 底下 的 设 定 是 这 样 哆 ! 好 
了 ， 我 假设 


俐 的 NTP 服务 器 所 需要 设 定 的 架构 如 下 : 
我 的 上 层 NTP 服务 器 共有 tock.stdtime.gov.tw, tick.stdtime.gov.tw， 











time.stdtime.gov.tw 三 部 ， 其 中 以 tock.stdtime.gov.tw 最 优先 使 用 


(prefer); 

不 对 Internet 提供 服务 ， 仅 允许 来 目 内 部 网 域 192.168.100.0/24 的 查询 
而 已 ; 

侦 测 一 些 BIOS 时 钟 与 Linux 系统 时 间 的 差异 并 写 入 
/Var/lib/ntp/drift 档案 当中 。 


好 了 ， 先 让 我 们 谈 一 谈 如 何在 ntp.conf 里 面 设 定 权限 控制 吧 ! 





利用 restrict 来 管理 权限 控制 
在 ntp.conf 档案 内 可 以 利用 『 restrict 」 来 控 管 权限 ， 这 个 参数 的 设 定 方 


式 六 

restrict [你 的 IP] mask [netmask_IP] [parameter] 

其 中 parameter 的 参数 主要 有 底下 这 些 : 
ignore: 拒绝 所 有 类 型 的 NTP 联机 ; 


Po 客户 端 不 能 使 用 ntpc 与 ntpq 这 两 支 程 序 来 修改 服务 器 的 
订 


间 参 数 ， 但 客户 端 仍 可 透 过 这 部 主机 来 进行 网 络 校 时 的 ; 
noquery: 客户 端 不 能 够 使 用 ntpq, ntpc 等 指令 来 查询 时 间 服 务 器 ， 等 
于 





不 提供 NTP 的 网 络 校 时 吵 ; 
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notrap: 不 提供 trap 这 个 远程 事件 登录 (remote event logging) 的 功 


能 oO 
notrust: 拒绝 没有 认证 的 客户 端 。 


那 如 果 你 没有 在 parameter 的 地 方 加 上 任何 参数 的 话 ， 这 表示 『 该 P 或 
网 段 不 


受 任何 限制 」 的 意思 喔 ! 一 般 来 说 ， 我 们 可 以 先 关 闭 NTP 的 权限 ， 然 
后 再 一 个 一 个 的 


局 用 允许 登入 的 网 段 。 


利用 server 设 定 上 层 NTP 服务 比 
上 层 NTP 服务 器 的 设 定 方式 为 : 
server [IP or hostname] [prefer] 


在 server 后 端 可 以 接 IP 或 主机 名 ， 鸟 哥 个 人 比较 喜欢 使 用 IP 来 设 定 
说 ! 至 于 那个 


perfer 表示 『 优 先 使 用 上 的 服务 器 吃 一 有 够 简单 吧 ! 





以 driftfile 记录 时 间 差 异 
设 定 的 方式 如 下 : 
driftfile [可 以 被 ntpd 写 入 的 目录 与 档案 ] 


因为 预 设 的 NTP Server 本 身 的 时 间 计 算是 依据 BIOS 的 芯片 震荡 周期 频 
率 来 计算 的 ， 


但 是 这 个 数值 与 上 层 Time Server 不 见得 会 一 致 啊 ! 所 以 NTP 这 个 
daemon (ntpd) 会 


目 动 的 去 计算 我 们 目 己 主机 的 频率 与 上 层 Time server 的 频率 ， 并 且 将 
两 个 频率 的 误 


差 记录 下 来 ， 记 录 下 来 的 档案 就 是 在 ”driftfile 后面 接 的 完整 档 名 当中 
了 ! 关于 档 名 


你 必须 要 知道 : 
driftfile 后 面 接 的 档案 需要 使 用 完整 路 径 文 件 名 ; 
该 档案 不 能 是 连结 档 ; 
该 档案 需要 设 定 成 ntpd 这 个 daemon 可 以 写 入 的 权限 。 
该 档案 所 记录 的 数值 单位 为 百 万 分 之 一 秒 (ppm)。 


driftfile 后 面 接 的 档案 会 被 ntpd 目 动 更 新 ， 所 以 他 的 权限 一 定 要 能 够 让 
ntpd 


写 入 才 行 。 在 CentOS 6.x 预 设 的 NTP 服务 器 中 ， 使 用 的 ntpd 的 owner 


是 ntp ， 














这 部 份 可 以 查阅 /etc/sysconfig/ntpd 就 可 以 知道 啦 ! 
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keys [key_file] 


除了 以 restrict 来 限制 客户 端的 联机 之 外 ， 我 们 也 可 以 透 过 密 钥 系统 来 
给 客户 新 


认证 ， “如 此 一 来 可 以 让 主机 端 更 放心 了 。 不 过 在 这 个 章节 里 面 我 们 暂 


不 讨论 这 个 部 分 ， 
有 兴趣 的 朋友 可 以 参考 ntp-keygen 这 个 指令 的 相关 说 明 嘱 
根据 上 面 的 说 明 ， 我 们 最 终 可 以 取得 这 样 的 配置 文件 案 内 容 嘱 (底下 仅 


修改 部 分 数 
据 ， 保 留 大 部 分 的 设 定 值 咀 )! 
[root@www ~]# vim /etc/ntp.conf 


# 1. 先 处 理 权限 方面 的 问题 ， 包 括 放行 上 层 服务 器 以 及 开放 区 网 用 户 来 
源 : 


restrict default kod nomodify notrap nopeer noquery <== 拒 绝 IPv4 

的 用 户 

restrict -6 default kod nomodify notrap nopeer noquery <== 拒 绝 IPv6 
的 用 户 

restrict 220.130.158.71 <== 放 行 tock.stdtime.gov.tw 进入 本 NTP 服 
务 髓 

restrict 59.124.196.83 <== 放 行 tick.stdtime.gov.tw 进入 本 NTP 服 
务 髓 

restrict 59.124.196.84 <== 放 行 time.stdtime.gov.tw 进入 本 NTP 服 
务 髓 

restrict 127.0.0.1 <== 底 下 两 个 是 默认 值 ， 放 行 本 机 来 源 

restrict -6 ::1 

restrict 192.168.100.0 mask 255.255.255.0 nomodify <== 放 行 区 网 来 源 
#2. 设 定 主 机 来 源 ， 请 先 将 原本 的 [0|1|2].centos.pool.ntp.org 的 设 定 批 
注 挥 : 


server 220.130.158.71 prefer <== 以 这 部 主机 为 最 优先 





server 59.124.196.83 

server 59.124.196.84 

# 3. 预 设 时 间 差 异 分 析 档 案 与 暂 不 用 到 的 keys 等 ， 不 需要 更 动 它 : 
driftfile /var/lib/ntp/drift 

keys /etc/ntp/keys 

这 样 就 设 定 妥 当 了 ， 准备 来 启动 NTP 服务 吧 ! 
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15.2.3 NTP 的 启动 与 观察 

or ntp.conf 之 后 就 可 以 局 动 ntp 服务 器 了 。 局 动 与 观察 的 方式 如 


#1. 启动 NTP 
[root@www ~]# /etc/init.d/ntpd start 


[root@www ~]# chkconfig ntpd on 





[root@www ~]# tail /var/log/messages <== 自 行 检查 看 看 有 无 错误 
# 2. 观察 启动 的 塌 口 看 看 : 








[root@www ~ 1# netstat -tlunp | grep ntp 

Proto Recv-Q Send-Q Local Address Foreign Address PID/Program 
name 

udp 0 0 192.168.100.254:123 0.0.0.0:* 3492/ntpd 


udp 0 0 192.168.1.100:123 0.0.0.0:* 3492/ntpd 


udp 0 0 127.0.0.1:123 0.0.0.0:* 3492/ntpd 

udp 0 0 0.0.0.0:123 0.0.0.0:* 3492/ntpd 

udp 0 0 ::1:123 :::* 3492/ntpd 

udp 0 0 :::123 :::* 3492/ntpd 

# 主要 是 UDP 封包 ， 且 在 port 123 这 个 埋 口 的 啦 ! 


这 样 就 表示 我 们 的 NTP 服务 器 已 经 启动 了 ， 不 过 要 与 上 层 NTP 服务 器 
联机 则 还 需要 一 


些 时 间 ， 通常 启动 NTP 后 约 在 15 分 钟 内 才 会 和 上 层 NTP 服务 器 顺利 
连接 二 。 那 要 


如 何 确认 我 们 的 NTP 服务 器 有 顺利 的 更 新 自己 的 时 间 呢 ?你 可 以 使 用 
底下 儿 介 指令 来 


查阅 喔 (请 自行 等 等 数 分 钟 后 再 以 下 列 指令 查阅): 
[root@www ~]# ntpstat 

synchronised to NTP server (220.130.158.71) at stratum 3 
time correct to within 538 ms 


polling server every 128s 


这 个 指令 可 以 列 出 我 们 的 NTP 服务 右 有 跟 上 层 联机 人 否 。 由 上 述 的 输出 
结果 可 以 知道 ， 


时 间 有 校正 约 538 * 10^(-3) 秒 ， 且 每 隔 64 秒 会 主动 去 更 新 时 间 喔 ! 
[root@www ~]# ntpgq -p 
remote refid st t when poll reach delay offset 


Jitter 


*tock.stdtime.go 59.124.196.87 2 u 19 128 377 12.092 -0.953 
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0.942 

+59-124-196-83.H 59.124.196.86 2 u 8 128 377 14.154 7.616 
1.533 

+59-124-196-84.H 59.124.196.86 2 u 2 128 377 14.524 4.354 
1.079 


这 个 ntpg -p 可 以 列 出 目前 我 们 的 NTP 与 相关 的 上 层 NTP 的 状态 ， 上 头 
的 几 个 字 眉 


的 意义 为 : 

remote: 亦 即 是 NTP 主机 的 卫 或 主机 名 呢 一 注意 最 左边 的 符号 
o 如 果 有 【『* 」 代表 目 前 正在 作用 当中 的 上 层 NTP 
o 如 果 是 『 + 」 代 表 也 有 连 上 线 ， 而 且 可 作为 下 一 个 提供 时 间 更 新 的 
候选 者 。 

refid: 参考 的 上 一 层 NTP 主机 的 地 址 

st: 就 是 stratum 阶层 嘿 ! 

when: 几 秒 钟 前 曾经 做 过 时 间 同 步 化 更 新 的 动作 ; 

poll: 下 一 次 更 新 在 儿 秒 钟 之 后 ; 

reach: 已 经 向 上 层 NTP 服务 器 要 求 更 新 的 次 数 


delay: 网 络 传输 过 程 当中 延 人 运 的 时 间 ， 单 位 为 10^(-6) 秒 

offset: 时间 补偿 的 结果 ， 单 位 与 10^(-3) 秒 

jitter: Linux 系统 时 间 与 BIOS 硬件 时 间 的 差异 时 间 ， 单位 为 10A(-6) 
秒 。 


事实 上 这 个 输出 的 结果 告诉 我 们 ， 时 间 真 的 很 准 了 啦 ! 因为 差异 都 在 
0.001 秒 以 


内 ， 可 以 符合 我 们 的 一 般 使 用 了 。 男 外 ， 你 也 可 以 检查 一 下 你 的 BIOS 
时 间 与 Linux 系 


统 时 间 的 差异 ， 就 是 /var/lib/ntp/drift 这 个 档案 的 内 容 ， 就 能 了 解 到 咱们 
的 Linux 


系统 时 间 与 BIOS 硬件 时 钟 到 底 差 多 久 ? 单位 为 10^(-6) 秒 啦 ! 
要 让 你 的 NTP Server/Client 真 的 能 运作 ， 在 上 述 的 动作 中 得 注意 : 
上 述 的 ntpstat 以 及 ntpq -p 的 输出 结果 中 ， 你 的 NTP 服务 器 真 的 要 能 


够 连结 上 层 NTP 才 行 喔 ! 否则 你 的 客户 端 将 无 法 对 你 的 NTP 服务 器 进 
行 同步 


更 新 的 ! 重要 重要 ! 


你 的 NTP 服务 器 时 间 不 可 与 上 层 差 异 太 多 。 举 例 来 说 ， 乌 哥 测 试 
NTP 服务 


器 约 在 2011/7/28 下 午 ， 如 果 我 的 服务 器 时 间 原 本 是 错误 的 2010/7/28， 
足 足 

















靶 了 一 年 ， 那么 上 层 服务 器 人 恕 怕 束 不 会 将 正确 的 时 间 传 给 我 ! ”这 时 束 


会 造成 困 


和 半 季 内 


服务 器 防火 墙 在 UDP port 123 有 没有 开 啊 ?要 特别 注意 的 呢 ! 


等 待 的 时 间 够 不 够 长 ?” 鸟 哥 设 定 NTP 等 过 最 久 的 时 间 大 约 是 一 小 
时 ! 你 有 


等 这 人 告 外 过 牢 ? 
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OD 
15.2.4 安全 性 设 定 
NTP 服务 器 在 安全 的 相关 性 方面 ， 其 实 刚 刚 我 们 在 /etc/ntp.conf 里 面 的 


restrict 参数 中 就 已 经 设 定 了 NTP 这 个 daemon 的 服务 限制 范围 了 ! 不 
过 ， 丰 防火墙 


iptables 的 部 分 ， 还 是 需要 开启 联机 监 昕 的 啦 ! 所 以 ， 在 你 的 iptables 规 
则 的 


scripts 当中 ， 需 要 加 入 这 一 段 (我 是 以 开放 192.168.100.0/24 这 个 网 域 作 
为 范例 


的 ! ) 

[root@www ~]# vim /usr/local/virus/iptables/iptables.allow 

iptables -A INPUT -i $SEXTIF -p udp -s 192.168.100.0/24 --dport 123 -j 
ACCEPT 


[root@www ~]# /usr/local/virus/iptables/iptables.rule 


各 还 要 开放 其 他 的 网 段 或 者 客户 端 主机 ， 请 自行 修改 /etc/ntpd.conf 以 及 


你 的 防火 场 
机 制 略 ! 
15.3 客户 端的 时 间 更 新 方式 


上 头 介绍 了 NTP 服务 器 的 安装 与 设 定 ， 如 果 我 们 仅 有 十 部 不 到 的 主机 
时 ， 老 实说 ， 


实在 没有 架设 NTP 服务 器 的 需求 。 只 要 能 够 在 你 的 主机 上 头 以 NTP 客 
户 端 软件 来 进 


行 网 络 校 时 就 能 够 同步 化 时 间 了 ， 没 必要 时 时 刻 刻 进行 时 间 的 校正 吧 ! 


和信 A! 但 是 ， 如 


东 是 类 似 一 定 要 时 间 同 步 的 丛 集 计算 机 群 或 登录 服务 器 群 ， 那 就 得 要 使 
用 时 间 服 务 器 比 


较 好 中 ! 
15.3.1 Linux 手动 校 时 工作 : ”date, hwclock 


先 来 复习 一 下 前 面谈 到 的 重点 ， 那 就 是 Linux 操作 系统 当中 其 实 有 两 个 
时 间 ， 分 








别 是 : 


软件 时 钟 : Linux 自己 的 系统 时 间 ， 由 1970/0101 开始 记录 的 时 间 参 
数 
0 


在 软件 时 钟 方面 ， 我 们 可 以 透 过 date 这 个 指令 来 进行 手动 修订 ， 但 如 果 


要 修改 


BIOS 记录 的 时 间 ， 就 得 要 使 用 hwclock 这 个 指令 来 写 入 才 行 。 相 关 的 
用 法 如 下 : 
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[root(Oclientlinux ~]# date MMDDhhmmYYYY 
选项 与 参数 : 

MM: 月 份 

DD: 日 期 

hh: 小 时 

mm: 分 钟 

YYYY: 公元 年 

#1. 修改 时 间 成 为 1 小 时 后 的 时 间 该 如 何 是 好 ? 
[root(@clientlinux ~]# date 

Thu Jul 28 15:33:38 CST 2011 
[root@clientlinux ~]# date 072816332011 

Thu Jul 28 16:33:00 CST 2011 


# 瞧 ! 时 间 立 刻 融 变 成 一 个 小 时 后 了 ! 








[root@clientlinux ~]# hwclock [-rw] 

选项 与 参数 : 

-T: 亦 即 read ， 读 出 目前 BIOS 内 的 时 间 参 数 ; 

-w: 亦 即 write ， 将 目前 的 Linux 系统 时 间 写 入 BIOS 当中 啊 ! 
# 2. 查阅 BIOS 时 间 ， 并 且 写 入 更 改过 的 时 间 哆 ! 


[root(Oclientlinux ~]# date; hwclock -r 
Thu Jul 28 16:34:00 CST 2011 
Thu 28 Jul 2011 03:34:57 PM CST -0.317679 seconds 


# 看 一 看 ， 是 否 刚好 差异 约 一 个 小 时 啊 ! 这 就 是 BIOS 时 间 ! 





[root(Oclientlinux ~]# hwclock -w; hwclock -r; date 

Thu 28 Jul 2011 04:35:12 PM CST -0.265656 seconds 

Thu Jul 28 16:35:11 CST 2011 

# 这 样 就 写 入 哆 一 所 以 软件 时 钟 与 硬件 时 钟 就 同步 啦 ! 很 简单 吧 ! 


这 样 可 以 了 解 了 吗 ? 当 我 们 进行 完 ”Linux 时 间 的 校 时 后 ， 还 需要 以 
hwclock 来 更 新 


BIOS 的 时 间 ， 因 为 每 次 重新 启动 的 时 候 ， 系 统 会 重新 由 BIOS 将 时 间 
读 出 来 ， 所 以 ， 


BIOS 才 是 重要 的 时 间 依 据 呐 。 
15.3.2 Linux 的 网 络 校 时 


在 Linux 的 环境 当中 可 利用 NTP 的 客户 病程 序 ， 亦 即 是 ntpdate 这 文 程 
序 就 能 

够 进行 时 间 的 同步 化 。 不 过 你 要 知道 的 是 ， 因 为 NTP 服务 器 本 来 就 会 
与 上 层 时 间 服 务 


器 进行 时 间 的 同步 化 ， 所 以 在 预 设 的 情况 下 ，NTP 服务 器 不 可 以 使 用 
ntpdate ! 也 就 
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是 说 ntpdate 与 ntpd 不 能 同时 局 用 的 。 所 以 你 不 要 在 NTP server 上 头 执 
行 这 个 指 


令 哟 ! 我 们 就 来 看 看 如 何 处 理 吧 ! 

[root@clientlinux ~]# ntpdate [-dv] [NTP IP/hostname] 
选项 与 参数 : 

-d : 进入 除 错 模式 (debug) ， 可 以 显示 出 更 多 的 有 效 信息 。 
-Vv : 有 较 多 讯息 的 显示 。 


[root@clientlinux ~]# ntpdate 192.168.100.254 











28 Jul 17:19:33 ntpdate[3432]: step time server 192.168.100.254 offset 
-2428.396146 sec 


# 最 后 面 会 显示 微调 的 时 间 有 多 少 (offset)， 
因为 鸟 哥 这 部 主机 时 间 差 很 多 ， 
所 以 秒 数 ... 





[root@clientlinux ~]# date; hwclock -r 

四 7 月 28 17:20:27 CST 2011 

公元 2011 年 07 月 28 日 ( 周 四 ) 18 时 19 分 26 秒 -0.752303 seconds 

# 知道 乌 哥 想 要 表达 什么 吗 ? 对 啊 ! 还 得 hwclock -w 写 入 BIOS 时 间 才 


呵 ! 
[root@clientlinux ~]# vim /etc/crontab 
# 加 入 这 一 行 去 ! 


10 5 * * * root (/usr/sbin/ntpdate tock.stdtime.gov.tw && /sbin/hwcalock -w) 
&> /dev/null 


使 用 crontab 之 后 ， 每 天 5:10 Linux 系统 就 会 自动 的 进行 网 络 校 时 嘿 ! 
相当 的 简易 


吧 ! 不 过 ， 这 个 方式 仅 适 合 不 要 启动 NTP 的 情况 。 如 果 你 的 机 器 数量 
太 多 了 ， 那 么 客 


户 闪 最 好 也 局 动 一 下 NTP 服务 ! 透 过 NTP 去 主动 的 更 新 时 间 吧 ! 如 何 
达成 这 个 动作 


呢 ? 也 很 简单 啊 ， 修 改 /etc/ntp.conf 即 可 : 








[root@clientlinux ~]#ntpdate 192.168.100.254 
# 由 于 ntpd 的 serverclient 之 间 的 时 间 误 差不多 许 超 过 1000 秒 ， 
# 因此 你 得 先 手 动 进行 时 间 同 步 ， 然 后 再 设 定 与 启动 时 间 服 务 器 哆 ! 








[root@clientlinux ~]# vim /etc/ntp.conf 

#server 0.centos.pool.ntp.org 

#server 1.centos.pool.ntp.org 

#server 2.centos.pool.ntp.org 

restrict 192.168.100.254 <== 放 行 服务 器 来 源 ! 

server 192.168.100.254 <== 这 就 是 服务 器 ! 

# 很 简单 ， 就 是 将 原本 的 server 项 目 批注 ， 加 入 我 们 要 的 服务 器 即 可 
[root@clientlinux ~]# /etc/init.d/ntpd start 

[root@clientlinux ~]# chkconfig ntpd on 
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然后 取消 掉 crontab 的 更 新 程序 ， 这 样 你 的 client 计算 机 就 会 主动 的 到 
NTP 服务 器 


去 更 新 鄂 ! 也 是 轻松 愉快 啊 ! ”不 过 针对 客户 端 来 说 ， 乌 哥 还 是 比较 习 
惯 使 用 crontab 的 


方式 来 处 理 就 是 了 。 
15.3.3 Windows 的 网 络 校 时 


或 许 你 一 直 都 没 发 现 ， 其 实 Windows 在 预 设 的 情况 当中 ， 已 经 帮 我 们 
处 理 了 网 络 


校 时 的 工作 喔 ! 不 管 你 愿 不 愿意 ... 你 可 以 将 鼠标 的 指针 指 在 任务 栏 右 下 
角 的 时 间 以 如 


下 的 方式 来 查阅 一 下 网 络 时 间 服 务 器 的 设 定 : 
图 15.3-1、Windows 7 提供 的 网 络 校 时 功能 


点 选 上 图 中 的 『 变 更 日 期 与 时 间 设 定 值 ] ， 出 现 如 下 图 示 : 
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于 日 期 和 时 间 [到 |] 
日 期 和 时 间 | 其 他 时 建 | 网 降 网 路 时 间 





























陪 屋 各 瑟 支 所 time.windows.coma 屿 去 豆 理 
过 ES | 
设 定 洪 怪 党 路 蛙 阐 哉 定 1 
加 | 短 深 靶 涡 路 晨 半 向 又 导 同 步 刘 理 (S) 
伺 乳 刁 (E): tock.stdtime.gov.tw ” 立即 下 新 (UU) 2 
蛙 舌 已 经 积 tock.stdtime.gov.tw 从 由 011/7/29 上 午 02:19 成 功 完成 同步 
王 
3 国营 更 设 定 (C).. 














图 15.3-2、Windows 7 提供 的 网 络 校 时 功能 


如 上 所 示 ， 你 可 以 目 行 填写 台湾 的 时 间 服 务 器 来 对 应 时 间 ， 当 然 也 可 以 
填写 你 自己 


的 时 间 服 务 器 啊 ! ”之 后 系统 就 会 主动 的 上 网 去 更 新 时 间 了 。 不 过 
是 Windows XP 之 


后 的 窗口 系统 才 有 的 功能 ， 如 果 是 比较 早期 的 ”Windows ， 例如 
Windows 95/2000 预 


设 是 没有 这 个 功能 能 的 。 不 过 也 没有 关系 ， ”因为 国家 频率 与 时 间 标 准 实 
验 室 





(http:/www.stdtime.gov.tw/) 也 有 提供 一 个 客户 端 软件 喔 ! 链接 资料 如 
> 


http://www.stdtime.gov.tw/chinese/EXE/NTPClock.exe 


你 可 以 下 载 ， 直 接 执行 他 就 知道 如 何 处 理 了 ， 因 为 是 全 中 文 接口 的 图 形 
化 软件 嘛 ! 


15.4 重点 回顾 
地 球 共 有 24 个 时 区 ， 而 以 格林 威 治 时 间 (GMT) 为 标准 时 间 ; 
台湾 本 地 时 间 为 GMT + 8 小 时 ; 
最 准确 的 时 间 为 使 用 原子 钟 (Atomic clock) 所 计算 的 ， 例 如 UTC 
(Coordinated Universal Time) 就 是 一 例 ; 
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Linux 系统 本 来 就 有 两 种 时 则 ， 一 种 是 Linux 以 1970/01/01 开始 计数 
的 


系统 时 间 ， 一 种 则 是 BIOS 记载 的 硬件 时 间 ; 


Linux 可 以 透 过 网 络 校 时 ， 最 常见 的 网 络 校 时 为 使 用 NTP 服务 器 ， 这 
信服 


务 启动 在 udp port 123; 
时 区 档案 主要 放置 于 /usr/share/zoneinfo/ 目录 下 ， 而 本 地 时 区 则 参考 
/etc/localtime:; 


ee 服务 器 为 一 种 阶层 式 的 服务 ， 所 以 NTP 服务 器 本 来 就 会 与 上 层 
时 间 服 





务 器 作 时 间 的 同步 化 ， 因 此 nptd 与 ntpdate 两 个 指令 不 可 同时 使 用 ; 
NTP 服务 器 的 联机 状态 可 以 使 用 ntpstat 及 ntpq -p 来 查询 ; 
NTP 提供 的 客户 端 软 件 为 ntpdate 这 个 指令 ; 


在 Linux 下 想 要 手动 处 理 时 间 时 ， 需 以 date 设 定时 间 后 ， 以 hwclock 


-W 
来 写 入 BIOS 所 记录 的 时 间 。 


0 0 0 
关闭 。 


15.5 本 章 习 题 

什么 是 GMT (格林 威 治 ) 时 间 与 UTC 时 间 ? 

由 于 地 球 是 圆 的 ， 所 以 同一 时 间 点 上 ， 在 地 球 共 可 分 为 24 个 时 区 ， 其 
中 ， 
我 们 以 欧洲 的 格林 威 治 时 间 为 一 个 对 照 的 依据 ， 这 个 即 是 GMT 时 间 。 
台湾 时 间 


比 GMT 时 间 快 了 8 小 时 。 至 于 UTC 时 间 则 是 由 原子 钟 所 计算 的 时 
间 ， 这 个 时 


间 是 相当 的 准确 的 ， 主要 仍 以 格林 威 治 时 间 为 时 区 ! 

Linux 系统 的 所 有 时 区 档案 放置 哪 一 个 目录 底下 ? 
所 有 的 时 区 档案 放置 于 : /usr/share/zoneinfo 底下 ! 至 于 系统 时 区 的 配置 
文件 则 在 /etc/sysconfig/clock 与 /etc/localtime 喔 ! 


我 的 Linux 主机 本 来 放置 在 日 本 东京 ， 现 在 想 将 他 拿 到 台湾 来 运作 ， 
不 过 


因为 日 本 与 台湾 有 一 个 小 时 的 时 普 ， ”所 以 我 的 时 间 应 该 需要 经 过 调整 











才 行 。 不 


过 ， 因 为 我 的 BIOS Time 主要 是 依据 UTC 时 间 来 设 定 的 ， 所 以 似乎 只 
要 更 动 时 


请 问 我 该 如 何 设 定时 区 ， 好 让 我 的 Linux 主机 能 够 显示 正 
确 的 末 


间 ? 
先 将 /etc/localtime 删除 ， 然 后 将 /usr/share/zoneinfo/Asia/Taipei 
这 个 档案 复制 成 为 /etc/localtime 即 可 ! 
目前 Linux 系统 上 面 的 时 间 服 务 器 主要 是 以 NTP 为 主 ， 请 问 这 个 


daemon 


的 主要 配置 文件 放 在 哪里 ， 而 该 配置 文件 中 ， 针 对 上 层 time server 的 设 
定 参 


数 为 何 ? 而 那个 driftfile 参数 是 干 嘛 用 的 ? 
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在 /etc/ntp.conf 这 个 档案 当中 ， 人 至 于 上 层 time server 的 设 定 参 数 为 
server 啊 ! 那个 driftfile 则 是 用 来 做 为 【时 间 差 额 ] 的 计算 的 ! 该 参数 


后 面 


接 的 是 一 个 完整 路 径 的 文件 名 ， 该 档案 里 面 的 数值 单位 为 百 万 分 
(ppm)。 


请 问 ntptrace 的 功能 为 何 ? 
可 以 用 来 追踪 上 层 time server 的 连接 时 间 与 目前 时 间 ! 
我 以 date 更 新 了 我 Linux 上 面 的 时 间 后 ， 该 如 何 将 时 间 数 据 写 入 


BIOS 
内 ? 

必须 利用 hwclock 这 个 程序 来 号 入 ， 利 用 hwclock -w 写 入 BIOS 

在 Linux 上 面 如 何 进 行 网 络 校 时 ? 

最 简单 的 方法 即 是 使 用 『 ntpdate time.servers.ip && hwclock -w 」 即 
可 ! 
15.6 参考 数据 与 延伸 阅读 

注 1: 格林 威 治 时 间 的 Wiki 说 明 : 





http://en.wikipedia.org/wiki/Greenwich Mean Time 

注 2: UTC 时 间 的 Wiki 说 明 : 
http://en.wikipedia.org/wiki/Coordinated Universal Time 

注 3: 人 台湾 提供 的 几 部 标准 时 间 服 务 才 与 时 间 服 务 才 官网 : 


http:/www.stdtime.gov.tw/Time/ntp/resource.htm 


http://www .stdtime.gov.tw/Time/home.htm 





由 网 友 李 涛 兄 提供 的 好 站 : 
http://support.ntp.org/bin/view/Support/TroubleshootingNTP#Section 9. 
5 


http://www.eecis.udel.edu/~mills/ntp/html/ntpg.html 


2003/08/21: 首次 完成 2006/12/05: 将 旧 的 文章 移动 到 此 处 


2006/12/08: 将 文章 作 了 个 版 面 修改 ， 同 时 将 一 些 数据 再 加 强 一 些 。 并 
补充 一 些 额外 的 


查阅 NTP 的 指令 。 


2009/04/28: 将 _offset 的 时 间 单 位 写 错 了 ， 应 该 是 ms 不 是 us ， 亦 即 
10A(-3) 秒 ， 


而 不 是 10A(-6) 秒 。 抱 歉 。 


2011/02/18: 由 读者 李涛 兄 提供 的 资料 ， 发 现 原本 ntpq 的 说 明 反 了 1! * 
应 为 作用 中 ， 


而 + 是 较 佳 的 另 一 部 候选 主机 。 
2011/03/16: 将 旧 的 基于 CentOS 4.x 的 文章 移动 到 此 处 
2011/03/18: 将 一 些 重复 性 的 数据 汇 整 一 下 ， 不 需要 的 部 分 就 删除 掉 了 


一 





2011/07/28: 将 基于 CentOS 5.x 的 文章 移动 到 此 处 
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站 2 务 器 之 二 : SAMBA 服务 器 

最 近 更 新 日 期 : 2011/07/29 


如 果 想 要 共享 档案 ， 在 Linux 对 Linux 的 环境 下 ， 最 简单 的 方法 就 是 透 
过 NIS 这 玩意 儿 了 ! 至 于 


Windows 对 Windows 的 环境 下 ， 最 简单 的 方法 则 是 『 网 络 上 的 芳 邻 ] 
啊 。 那 如 果 你 的 区 网 中 有 Windows 


也 有 Linux 而 且 想 要 共享 文件 系统 的 话 ， 那 该 怎 办 ? 那 束 使 用 Samba 
服务 器 吧 ! Samba 可 以 让 Linux 











加 入 Windows 的 网 芳 支 持 ， 让 异 质 平台 可 以 共享 文件 系统 ! 非常 好 用 
的 哟 ! 不 仅 如 此 ， Samba 也 可 以 


让 Linux 上 面 的 打印 机 成 为 打印 机 服务 器 (Printer ServemD)。 马 可 个 人 和 觉 
得 ， Samba 对 于 整个 区 网 的 


页 献 真 的 是 很 大 啦 ! 
16.1 什么 是 SAMBA 


16.1.1 SAMBA 的 友 与 名 称 子 





16.1.2 SAMBA 常见 的 应 





16.1.3 SAMBA 和 NetBIOS 通讯 协 座 
16.1.4 SAMBA daemons 

16.1.5 联机 模式 的 介绍 (peer/peer, domain model 
16.2 SAMBA 3 的 基础 设 定 

16.2.1 Samba 所 需 其 软件 结构 





JW (testparm, smbclient) 
(pdbedit, smbpasswd) 
(cupsaddsmb) 

SELinux, iptables, Samba 内 建 , Quota 



















16.3 Samba 客户 端 软件 功能 


16.3.1 Windows 系统 的 使 用 : WinXP 防火 墙 , port 445 





16.3.2 Linux 系统 的 使 用 : smbclient, mount.cifs， nmblookup, smbtree, 
smbstatus 


16.4 以 PDC 服务 器 提供 账号 管理 





16.4.2 PDC & 仑 ] 建 
16.4.3 Wimdows XP pro. 的 客户 问 
16.4.4 Wimdows 7 的 客户 端 


16.4.5 PDC 之 问题 克服 


16.5 器 简单 维护 与 管理 








16.5.3 利用 ACL 配合 单一 时 的 控 管 
16.6 重点 回顾 


16.7 本 章 习 题 
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16.1 什么 是 SAMBA 


在 这 个 章节 中 ， 我 们 要 教 大 家 跳 的 是 热情 有 劲 的 巴西 SAMBA 舞蹈 … 喔 
不 一 搞 错 


了 一 是 要 问 大 家 介绍 SAMBA 这 个 好 用 的 服务 器 啦 ! 喷 ! 怪 了 ! 怎么 
服务 器 的 名 称 会 使 


用 SAMBA 呢 ? 还 真是 怪 怪 的 呢 ! 那么 这 个 SAMBA 服务 器 的 功能 是 什 
么 昵 ? 另外 ， 它 


最 早 是 经 由 什么 样 的 想法 而 开发 出 来 的 呢 ? 底下 惑 让 我 们 慢 慢 的 谈 一 谈 
吧 ! 


16.1.1 SAMBA 的 发 展 历史 与 名 称 的 由 来 


在 早期 的 网 络 世界 当中 ， 档 案 数 据 在 不 同 主机 之 间 的 传输 大 多 是 使 用 
FIP 人 这个 好 


用 的 服务 器 软件 来 进行 传送 。 不 过 使 用 FTP 传输 档案 却 有 个 小 小 的 问 
题 ， 那 就 是 你 无 


法 直接 修改 主机 上 面 的 档案 数据 ! 也 就 是 说 ， 你 想 要 更 改 Linux 主机 上 
面 的 茶 个 档案 


时 ， 你 必须 要 将 该 档案 上 自 服 务 器 下 载 后 才能 修改 。 “也 因此 该 档案 在 服 
务 需 与 客户 端 都 


会 存在 。 这 个 时 候 ， 万 一 如 果 有 一 天 你 修改 了 东 个 档案 ，“ 却 未 记 将 数 
据 上 传 回 主机 ， 


那么 等 过 了 一 阵子 之 后 ， 了 呵呵 ， 你 如 何 知 道 那个 档案 才 是 最 新 的 ? 











让 档案 在 两 部 主机 之 间 直 接 修 改 : ”NFS 与 CIFS 


既然 有 这 样 的 问题 ， 那 么 好 吧 ， 我 可 不 可 以 在 客户 端的 机 器 上 面 直 接 使 
用 服务 器 上 





面 的 档案 ，“ 如果 可 以 在 客户 端 直接 进行 服务 器 端 档案 的 存 取 ， 那 么 我 
在 客户 端 束 不 需 


要 存在 该 档案 数据 嗓 ， 也 就 是 说 ， 我 只 要 有 Server 上 面 的 档案 资料 存 
在 就 可 以 啦 ! 


有 没有 这 样 的 文件 系统 啊 ! 很 高 兴 的 是 ， 第 十 三 盖世 
文件 系统 之 一 啦 ! 


我 只 要 在 客户 器 将 Server 所 提供 分 诗 的 目录 挂 载 进 来 ， 那么 在 客户 端 
的 机 左上 面 就 


Server 上 的 档案 资料 吃 ， 而 且 ， 该 数据 就 像 是 我 客户 端 


partition 一 般 ， 真 是 好 用 ! 


而 除了 可 以 让 Unix Like 的 机 器 互相 分 享 档案 的 NFS 服务 器 之 外 ， 在 微 
软 


(Microsofb 操作 系统 上 面 也 有 类 似 的 文件 系统 ， 那 就 是 Common Internet 
File 








NFS 就 是 这 样 的 





System, CIFS 这 个 吃 响 啦 ! CIFS 最 简单 的 想法 就 是 目前 常见 的 『 网 络 上 
的 廊 邻 」 咯 ! 


Windows 系统 的 计算 机 可 以 透 过 果 面 上 『 网 络 上 的 廊 邻 | 来 分 译 别 人 所 
提供 的 档案 数据 


哩 ! 真是 方便 。 不 过 ，NFS 仅 能 让 Unix 机 器 沟通 ， CIFS 只 能 让 
Windows 机 器 沟通 。 


伤 脑筋 ， 那 么 有 没有 让 Windows 与 Unix-Like 这 两 个 不 同 的 平台 相互 分 
享 档案 数据 的 


文件 系统 昵 ? 
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利用 封包 侦 测 逆向 工程 发 展 的 SMB Server 


在 1991 年 一 个 名 叫 Andrew Tridgell 博士 班 研究 生 就 有 这 样 的 困扰 ， 他 
手 上 有 


三 部 机 器 ， 分 别 是 跑 DOS 的 个 人 计算 机 、DEC 公司 的 Digital Unix 系 
统 以 及 Sun 的 


Unix 系统 。 在 当时 ， DEC 公司 有 发 展 出 一 套 称 为 PATHWORKS 的 软 
件 ， 这 套 软 件 可 以 


用 来 分 享 DEC 的 Unix 与 个 人 计算 机 的 DOS 这 两 个 操作 系统 的 档案 数 
据 ， 可 惜 让 


Tridgell 觉得 较 困 扰 的 是 ，Sun 的 Unix 无 法 籍 由 这 个 软件 来 达到 数据 分 
圣 的 目的 


DE 1) 


这 个 时 候 Tridgell 就 想 说 : 『 喷 ! 既然 这 两 部 系统 可 以 相互 沟通 ， 没 道 
理 Sun 就 


必需 这 么 兰 命 吧 ? 可 不 可 以 将 这 两 部 系统 的 运作 原理 找 出 来 ， 然 后 让 
Sun 这 部 机 器 也 


能 够 分 享 档案 数据 呢 ? 」， ”为 了 解决 这 样 的 的 问题 ， 他 老兄 就 自行 写 
了 个 program 去 


侦 测 当 DOS 与 DEC 的 Unix 系统 在 进行 数据 分 享 传送 时 所 使 用 到 的 通 


讯 协 议 信 息 ， 然 


后 将 这 些 重要 的 信息 拖 取 下 来 ，“ 并且 基于 上 述 所 找到 的 通讯 协议 而 开 
发 出 Server 


Message Block (SMB) 这 个 文件 系统 ， 而 就 是 这 套 SMB 软件 就 能 够 让 
Unix 与 DOS 互 


相 的 分 享 数据 虽 ! 

Tips: 

再 次 的 给 他 强调 一 次 ， 在 Unix Like 上 面 可 以 分 享 档案 资料 的 

file system 是 NFS， 那 么 在 Windows 上 面 使 用 的 『 网 络 上 的 芳 邻 ] 


所 使 用 的 文件 系统 则 称 为 Common Internet File System, CIFS 


取 名 SAMBA 的 主因 入 和 


既然 写成 了 软件 ， 想 一 想 ， 总 是 需要 注册 一 下 商标 吧 ! 因此 Tridgell 就 
请 


SMBServer (Server Message Block 的 简写 ) 这 个 名 字 来 做 为 他 撰写 的 这 个 
软件 的 商标 ， 


可 惜 的 是 ， 因 为 SMB 是 没有 意义 的 文字 ， 因 此 没有 办 法 达成 注册 。 既 
然 如 此 的 话 ， 那 


么 能 不 能 在 字典 里 面 找到 相关 的 字 词 可 以 做 为 商标 来 注册 呢 ? 翻 了 老 
半天 ， 呵 呵 ! 这 


个 SAMBA 刚好 含有 SMB ， 又 是 热情 有 劲 的 拉丁 舞蹈 的 名 称 ， 不 然 就 
用 这 沾 名 子 米 做 


为 商标 好 了 ! 这 成 为 我 们 今天 所 使 用 的 SAMBA 的 名 称 由 来 啦 ! 和信 


16.1.2 SAMBA 常见 的 应 用 
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由 上 面 说 明 的 SAMBA 发 展 缘由 ， 你 就 应 该 不 难 知道 ，SAMBA 最 初 发 
展 的 主要 目 就 


是 要 用 来 沟通 Windows 与 Unix Like 这 两 个 不 同 的 作业 平台 ， 那 么 
SAMBA 可 以 进行 


哪些 动作 呢 ?” 想 一 想 网 芳 能 做 的 吧 ! 
分 诗 档 案 与 打印 机 服务 ; 


dd 户 登 入 SAMBA 主机 时 的 映 份 认证 ， 以 提供 不 同 身 份 者 的 
入 别 效 


据 ; 

可 以 进行 Windows 网 络 上 的 主机 名 解析 (NetBIOS name) 
可 以 进行 装置 的 分 享 (例如 Zip, CDROM...) 

底下 我 们 来 谈 几 个 SAMBA 服务 器 的 应 用 实例 吧 ! 





利用 软件 直接 编 修 WWW 主机 上 面 的 网 页 数据 


相信 很 多 人 都 是 利用 个 人 计算 机 将 网 页 制作 完毕 之 后 ， 再 以 类 似 ”FTP 
之 类 的 服务 


将 网 页 上 传 到 WWW 主机 的 ， 但 这 样 有 个 困扰 ， 那 就 是 同时 在 客户 端 
与 WWW 主机 上 头 


都 有 一 份 网 页 数据 ， 和 弟弟 会 未 记 哪 一 份 是 最 新 的 ， ”最 肛 烦 的 是 ， 有 时 
候 下 载 下 来 的 档 


采 已 经 经 过 好 多 修改 了 ， 却 在 下 次 的 FTP 作业， 不 小 心 又 下 载 一 次 旧 














数据 ， 结果 将 已 
经 修改 过 的 数据 上 覆盖 过 去 一 天 响 ! 又 要 重 写 一 饥 .… 真 是 讨厌 ! 


如 采 你 有 安装 SAMBA 服务 器 的 设 定 的 话 ， 那 么 透 过 『 网 方 」 的 功能 ， 
直接 联机 远 


程 服务 器 所 提供 的 目录 ， ”如 此 一 来 你 可 以 直接 在 你 的 个 人 计算 机 上 面 
修改 主机 的 档案 


数据 ， 只 有 一 份 正 确 的 数据 而 已 喔 ! ”这 就 有 点 像 是 『 在 线 编 修 」 呢 ， 
一 修改 完成 ， 在 


Internet 上 和 面 可 以 立刻 检验 ， 方 便 的 很 响 ! 











做 成 可 直接 联机 的 文件 服务 天 


在 鸟 哥 过 去 待 过 的 实验 室 中 ， 由 于 计算 机 数量 不 多 ， 研 究 生 常常 会 使 用 
到 不 同 的 计 


ee 0 0 ) ， 此 外 ， 也 常常 有 研究 生 
己 节 





合 


池 


NoteBook ”来 工作 ， 因 此 ， 有 些 团 队 的 数据 就 分 散在 各 个 计算 机 当中 ， 
使 用 上 相当 的 不 


方便 。 这 个 时 候 ， 鸟 哥 就 使 用 SAMBA 将 硬盘 空间 分 享 出 来 ， 由 于 使 
用 者 要 登入 SAMBA 


这 个 服务 器 主机 时 需要 输入 用 户 数 据 (账号 与 密码 )， 而 不 同 的 登入 者 会 
取得 不 一 样 的 

目录 资源 ， 所 以 可 以 避免 自己 的 数据 在 公用 计算 机 上 面 补 顷 视 ， 此 
外 ， 在 不 同 的 公用 


计算 机 上 面 都 可 以 登入 SAMBA 主机， 数据 的 使 用 上 面 真是 相当 的 棒 
啊 ! 








打印 机 服务 器 
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0 


SAMBA 除了 分 孚 文件 系统 外 ， 也 可 以 分 享 打 印 机 喔 ， 乌 哥 的 研究 室 好 
几 部 计算 机 就 


是 直接 以 Linux 分 享 的 打印 机 来 印 制 报告 的 。 你 会 说 『 啊 Windows 也 
可 以 办 的 到 啊 ! 


没有 什么 了 不 起 的 ! 」 是 啊 。 但 是 乌 哥 认为 ， 用 Linux 做 为 服务 器 主机 


时 毕竟 还 是 比 


较 稳 定 一 点， 可 以 24 小 时 且 全 年 无 体 的 努力 工作 响 。 此 外 ， 因 为 目前 
透 过 『 网 络 上 的 


芳 邻 来 攻击 局 域 网 络 的 Windows 操作 系统 的 计算 机 病毒 实在 是 太 多 
了 ， 防 不 胜 防 ， 


Linux 对 于 这 样 的 攻击 并 没有 很 大 的 影响 (因为 常见 的 攻击 手法 均 针 对 
Windows 而 


来 一 )， 所 以 也 比较 安全 一 些 说 一 


SAMBA 的 应 用 挺 广泛 的 ， 尤 其 对 于 局 域 网 络 内 的 计算 机 来 说 ， 更 是 一 
项 不 可 多 得 的 


好 用 的 服务 器 ， 虽然 或 许 你 会 说 ，SAMBA 的 功能 不 过 是 模仿 Windows 
的 网 芳 以 及 AD 


相关 的 软件 ，“ 那 我 直接 使 用 Windows 不 就 OK 了 ? 可 惜 的 是 ， 
Windows XP 对 于 网 芳 


i a 以 企业 党 见 的 专业 版 (Professional) 来 
访 9 仅 能 

















提供 最 多 同时 十 个 联机 到 网 秀 的 联机 能 力 ， 这 .…. 不 太 够 用 吧 ! 所 以 哆 ， 
SAMBA 稳定 、 


人 值得 学 习 吧 ! 和 人 人! 更 多 的 应 用 你 可 以 上 自行 发 
电 只 ! 





16.1.3 SAMBA 使 用 的 NetBIOS 通讯 协议 


事实 上 ， 就 像 NFS 是 架构 在 RPC Server 上 面 一 样 ， SAMBA 这 个 文件 
系统 是 架构 


在 NetBIOS (Network Basic Input/Output System, NetBIOS) 这 个 通讯 协议 
上 上 面 所 开 


发 出 来 的 。 既 然 如 此 ， 我 们 当然 束 要 了 解 一 下 NetBIOS 吃 ! 


最 早 IBM 发 展 出 NetBIOS 的 目的 仅 是 要 让 局 域 网 络 内 少数 计算 机 进行 
网 络 链接 


的 一 个 通讯 协议 而 已 ， ”所 以 考虑 的 角度 并 不 是 针对 大 型 网 络 ， 因 此 ， 
这 个 NetBIOS 是 


无 法 跨 路 由 的 (Router / Gateway)。 这 个 NetBIOS 在 局 域 网 络 内 实在 是 
好 用 ， 所 


以 微软 的 网 络 染 就 使 用 了 这 个 吃 响 来 进行 沟通 的 响 ! 而 SAMBA 最 早 
发 展 的 时 候 ， 其 


实 是 想 要 让 Linux 系统 可 以 加 入 Windows 的 系统 当中 来 分 享 使 用 彼此 
的 档案 数据 的 ， 


所 以 当然 SAMBA 束 架 构 在 NetBIOS 发 展 出 来 中 。 


不 过 NetBIOS 是 无 法 跨 路 由 的 ， 因 此 使 用 NetBIOS 发 展 起 来 的 服务 器 
理论 上 也 是 


无 法 路 越 路 由 的 呢 ! ”那么 该 服务 器 的 使 用 范围 不 就 受 限 相当 的 多 了 ? 
好 在 ， 我 们 还 有 








所 谓 的 NetBIOS over TCP/P 的 技术 呢 ! 这 是 什么 样 的 技术 啊 ? 


举 个 例子 来 说 好 了 ， 我 们 知道 TCP/IP 是 目前 网 络 连接 的 基本 协议 ， 现 
在 我 们 将 


NetBIOS 想 成 是 一 封 明 信 片 ， 这 个 明信片 只 能 让 你 自己 欣赏 而 已 ， 如 
果 今 天 我 们 要 将 


这 个 明信片 送 到 远方 的 朋友 那 边 时 ! 就 需要 透 过 邮件 系统 (例如 邮局 
啦 、 国 际 快递 啦 等 


等 的 ) 来 传送 了 ! 这 个 TCP/IP 就 可 以 视 为 邮件 传递 系统 啦 ! 区 小 
NetBIOS over 


TCP/IP 的 技术 ， 我 们 就 可 以 跨 路 由 的 使 用 SAMBA 服务 器 所 提供 的 功 
能 咯 ! 当然 啦 ， 


目前 SAMBA 还 是 比较 广泛 的 使 用 在 LAN 里 面 说 。 
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Tips: 


或 许 你 会 发 现在 Windows 网 络 设 定 里 面 常 第 看 到 NetBEUI 这 个 噬 
吃 ， 那 是 什么 呢 ? 那 个 是 NetBIOS Extened User Interface 的 简 

写 ， 也 是 IBM 在 NetBIOS 发 展 出 来 之 后 的 改良 版 本 。 虽 然 这 两 者 
的 技术 不 太 相 同 ， 不过， 我 们 只 要 知道 一 些 简单 的 概念 就 可 以 了 ! 
所 以 ， 在 这 里 我 们 不 针对 NetBEUI 来 介绍 


16.1.4 SAMBA 使 用 的 daemons 


NetBIOS 当初 发 展 时 就 着 眼 在 局 域 网 络 内 的 快速 数据 交流 ， 而 因为 是 定 
义 在 局 域 网 


络 内 ， 因 此 他 并 没有 使 用 类 似 TCP/IP 之 类 的 传输 协议 ， 也 就 不 需要 IP 
的 设 定 。 如 此 


一 来 数据 如 何在 两 部 主机 之 间 交 流 呢 ? 其 实 主机 在 NetBIOS 协议 当中 
的 定义 为 使 用 


[NetBIOS Name」， 每 一 部 主机 必须 要 有 不 同 的 NetBIOS Name 才 
行 ， 而 档案 数据 就 


是 在 不 同 的 NetBIOS name 之 间 沟 通 吕 ! 我 们 以 一 个 网 芳 的 设 定 来 作 简 
单 的 说 明 好 了 : 


1. 取得 对 方 主机 的 NetBIOS name 定位 该 主机 所 在 : 


当 我 们 想 要 登入 某 部 Windows 主机 使 用 他 所 提供 的 档案 数据 时 ， 必 需 
要 加 入 该 


Windows 主机 的 群 组 (Workgroup)， 并 且 我 们 的 机 器 也 必需 要 设 定 一 个 
主机 名 ， 





注意 咀 ， 这 个 主机 名 跟 Hostname 是 不 一 样 的 ， 因 为 这 个 主机 名 是 架构 
在 

NetBIOS 协议 上 的 ， 我 们 可 以 简单 的 称呼 他 为 NetBIOS Name。 在 同一 
i 

中 ，NetBIOS Name 必需 要 是 独一无二 的 喔 ! 

2. 利用 对 方 给 予 权限 存 取 可 用 资源 : 


在 我 们 找到 该 主机 名 后 ， 是 否 能 登入 该 对 方 主机 或 者 是 取 用 对 方 主机 所 
提供 的 资 














源 ， 还 要 看 对 方 Windows 主机 有 没有 提供 我 们 使 用 的 权限 响 ! 所 以 ， 
并 不 是 登 


入 该 Windows 主机 之 后 我 们 就 可 以 无 限制 的 取 用 该 主机 的 档案 资源 
了 。 也 就 是 


说 ， 如 果 对 方 主机 人 允许 你 登入 ，，” 但 是 却 没 有 开放 任何 资源 让 你 取 用 ， 
呵呵 ， 登 


入 主机 也 无 法 查看 对 方 的 硬盘 里 面 的 数据 的 啦 ! 
我 们 的 SAMBA 则 是 透 过 两 文 服务 来 控制 这 两 个 步骤 ， 分 与 


nmbd : 这 个 daemon 是 用 来 管理 工作 组 啦 、NetBIOS name 啦 等 等 的 
解析 。 


主要 利用 UDP 协议 开启 port 137, 138 来 负责 名 称 解 析 的 任务 ; 


smbd : 这 个 daemon 的 主要 功能 就 是 用 来 管理 SAMBA 主机 分 享 的 目 
录 、 档 


人 主要 利用 可 徘 的 TCP 协议 来 传输 数据 ， 开 放 的 端口 
口 为 139 


及 445( 不 一 定 存在 ) 。 


所 以 嘱 ， SAMBA 每 次 启动 至 少 都 需要 有 这 两 个 daemons 嘱 ! 这 可 不 要 
忘记 喝 ! 而 


当 我 们 启动 了 SAMBA 之 后 ， 主 机 系统 就 会 启动 137, 138 这 两 个 UDP 
及 139 这 一 个 


TCP 塌 口 ， 这 也 不 要 忘记 了 ! 因为 后 面 设 定 防火 墙 的 时 候 ， 还 会 使 用 
到 这 三 个 port 的 


呢 ! 





是 : 
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PC A PC B 


16.1.5 联机 模式 的 介绍 (peer/peer, domain model) 


SAMBA ”服务 器 的 应 用 相当 的 广泛 ， 而 且 可 以 依照 不 同 的 网 域 联机 方 
式 ， 与 不 同 的 用 


户 账 号 密码 的 控 管 方式 来 进行 分 类 。 “例如 最 常见 的 “Workgroup 及 
Domain 两 种 方式 的 


I 底下 我 们 就 是 要 来 谈 一 谈 这 两 种 最 常见 的 局 域 网 络 的 联机 
员工 \: 








peer/peer (对 等 模式 ) 及 domain model ( 主 控 模式 )。 


peer/peer (Workgroup model, 对 等 模式 ): 


peer 有 同等 、 同 奉 的 意思 存在 ， 所 以 由 字面 上 来 看 ，peerpeer 当然 就 是 
间 两 部 


主机 的 地 位 相等 哆 ! ”这 是 什么 意思 呢 ? 简 单 的 说 ， 假 如 在 局 域 网 络 里 
面 的 所 有 PC 均 


可 以 在 自己 的 计算 机 上 面 管理 自己 的 账号 与 密码 ， ”同时 每 一 部 计算 机 
也 都 具有 独力 执 


行 各 项 软件 的 能 力 ， 只 古 厌 由 网 络 将 各 个 PC 链接 在 一 起 而 已 的 一 个 架 
构 ， 所 以 ， 


一 部 机 器 都 是 可 以 独立 运作 的 嘱 ! 





这 样 的 以 构 在 目前 小 型 办 公 室 里 面 是 最 常见 的 。 例 如 办 公 室 里 面 有 十 个 
人 ， 每 个 人 


果 上 可 能 都 安装 有 一 套 Windows 操作 系统 的 个 人 计算 机 ， 而 这 十 部 计 
算 机 都 可 以 独立 


进行 办 公 室 软件 的 执行 啊 、 独 立 上 网 啊 、 独 立 玩 游戏 啊 等 等 的 ，” 因为 
这 十 部 计算 机 都 


可 以 独立 运作 ， 所 以 不 会 有 一 部 计算 机 关 掉 ， 其 他 的 计算 机 就 无 法 工作 
的 情况 发 生 ， 这 


就 是 peer/peer 的 典型 架构 。 


那 在 这 样 的 架构 底下 ， 要 如 何 透 过 网 络 联机 来 取得 对 方 的 数据 呢 ? 举例 
来 说 ， 以 下 


图 的 架构 为 例 ， 在 这 样 的 架构 下 ， 假 设 vbird (PC A) 写 了 一 个 报告 书 ， 
而 dmtsai (PC 


B) 想 要 以 网 络 直接 取 用 这 个 报告 书 时 ， 那 dmtsai 就 必须 要 知道 vbird 使 
用 的 密码 ， 


并 且 vbird 必须 要 在 PC A 上 面 启 用 Windows 的 『 资 源 共 享 ( 或 者 是 共 
享 )] 之 后 , 才 


能 够 让 dmtsai 联机 进入 喔 (此 时 PC A 为 Server) ! 而 且 ， vbird 可 以 随 
时 依照 自 


己 的 喜好 来 更 改 自 己 的 账号 与 密码 ， 而 不 党 ”dmtsai ”的 影响 。 不 过 ， 
dmtsai 就 得 要 取 


得 vbird 同意 取得 新 的 账号 与 密码 后 ， 才 能 够 登入 PC A 喔 ! 反 过 来 
说 ， 同样 的 ， vbird 


要 取得 dmtsai 的 数据 时 ， 同 样 需要 取得 PC B 的 账号 与 密码 后 ， 才 能 够 
顺利 登入 啊 


(此 时 PC A 为 Client 喔 )! 因为 PC A, PC B 的 角色 与 地 位 都 同时 可 以 为 


























Client 与 
Server ， 所 以 就 是 peer/peer 的 架构 了 ! 
图 16.1-1、peer/peer 联机 的 示意 图 
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vbird 用 同 





| I 的 架构 的 好 处 是 每 部 计算 机 均 可 以 独立 运作 ， 而 不 受 他 
] 景 S09] ! 


不 过 ， ”缺点 束 是 当 整 个 网 域内 的 所 有 人 员 部 要 进行 数据 分 至 时 ， 光 是 
知道 所 有 计算 机 


里 面 的 账号 与 密码 ， 就 会 很 伤 脑筋 了 ! 所 以 ， Peer/Peer 的 架构 是 比较 
适合 (1) 小 型 


的 网 域 ， 或 者 是 (2) 没 有 需要 常常 进行 档案 数据 分 享 的 网 络 环 境 ， 或 者 
是 (3) 每 个 使 用 


者 都 独自 拥有 该 计算 机 的 拥有 权 ( 就 是 次 ， 该 计算 机 是 用 户 的 ， 而 不 古 
公用 的 啦 ! ) 而 ， 


如 果 该 单位 的 所 有 PC 均 是 公有 的 (例如 学 校 的 计算 机 教室 环境 )， 而 且 





domain model ( 主 控 模式 ) 


假设 今天 你 服务 的 单位 有 10 部 计算 机 ， 但 是 你 的 单位 有 20 个 员工 ， 这 
也 就 是 说 ， 


这 20 个 员工 轮流 抢 着 用 这 10 部 计算 机 。 如 果 每 部 计算 机 都 如 同 
peer/peer 的 架构 


时 ， 那 么 每 部 计算 机 都 需要 输入 这 20 个 员工 的 账号 与 密码 来 提供 他 们 
登入 喔 。 而 且 ， 


今天 假如 有 个 员工 想 要 变更 自己 的 密码 时 ， 就 需要 到 10 人 台 计 算 机 上 面 
进行 密码 变更 的 


作业 否则 他 就 必须 要 记得 这 10 部 计算 机 里 面 ， 那 一 部 计算 机 是 记忆 
那 一 个 密码 .… 


好 烦 那 一 


如 果 上 述 是 这 样 的 情况 ， 使 用 peerpeer 架构 就 不 是 一 个 好 方法 了 ! 这 
个 时 候 就 


需要 大 由 domain model 来 达成 你 的 需求 啦 ! 所 谓 的 domain model 概念 
其 实 也 很 简单 ， 


既然 使 用 计算 机 资源 需要 账号 与 密码 ， ”那么 我 将 所 有 的 账号 与 密码 都 
放置 在 一 部 主 控 


计算 机 (Primary Domain Controller, PDC) 上 面 ， 在 我 的 网 域 里 面 ， 任 何 
人 想 要 使 用 


任何 计算 机 时 ， 都 需要 在 屏幕 前 方 输入 账号 与 鹤 码 ， 然 后 通通 籍 由 PDC 

















服务 占 的 辨识 


后 ， 才 给 予 适当 的 权限 。 也 就 是 说 ， 不 同 的 身份 还 具有 不 一 样 的 计算 机 
资源 权限 就 是 了 ! 


例如 底下 的 图 示 : 
图 16.1-2、domain model 联机 的 示意 图 
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PDC 服务 器 控 管 整个 网 域 里 面 的 各 个 机 器 (PC A ~ PC D) 的 账号 与 密码 
的 信息 ， 


假如 今天 有 个 使 用 者 账号 名 称 为 vbird ， 且 密码 为 12345 时 ， 他 不 论 使 
用 哪 一 部 计算 


机 (PC A ~ PC D) 只 要 在 屏幕 表 方 输入 vbird 与 他 的 密码 ， 则 该 机 器 会 
先 到 PDC 上 


面 查验 是 否 有 vbird 以 及 vbird 的 密码 ， 并 且 PDC 主机 会 给 予 vbird 这 
个 用 户 相 关 


的 计算 机 资源 权限 。 当 vbird 在 任何 一 部 主机 上 面 登入 成 功 后 ， 他 就 可 
以 使 用 相关 的 


计算 机 资源 了 ! 


这 样 的 架构 比较 适合 人 来 人 往 的 企业 架构 ， 当 系统 管理 员 要 控 管 新 进入 
员 的 计算 机 


资源 使 用 权时 ， 可 以 直接 针对 PDC 来 修改 就 好 了 ， 不 需要 每 一 部 主机 
都 去 修 修 改 改 的 ， 


对 于 系统 管理 员 来 说 ， 这 样 的 架构 在 控 管 账 写 资源 上 ， 当 然 是 比较 简单 











的 啦 ! 


的 环境 与 适用 的 人 都 不 相同 ， 并 没有 那个 是 最 好 啦 ! 请 依 
照 你 的 工 


环境 来 选择 联机 的 模式 鄂 ! 当然 ， SAMBA 可 以 达到 上 述 两 种 模式 的 
啦 ! 底下 我 们 会 分 


别 来 介绍 喔 ! 
16.2 SAMBA 服务 器 的 基础 设 定 


SAMBA 这 个 软件 几乎 在 所 有 的 Linux distributions 上 面 都 有 提供 ， 因 为 
即使 你 


的 Linux 仅 做 为 个 人 昌 面 计算 机 使 用 时 ， 你 依旧 可 能 会 需要 联机 到 远程 
的 Windows 


网 方 ， 那 个 时 候 束 得 要 samba 提供 的 客户 并 软件 功能 哆 ! 因此 你 只 要 
直接 安装 系统 上 


面 提供 的 默认 samba 版 本 即 可 。 底 下 我 们 会 先 介绍 samba 服务 促 ， 然 后 
再 介绍 客户 端 


功能 喔 ! 
16.2.1 Samba 所 需 软件 及 其 软件 结构 


日前 常见 的 samba 版 本 为 3.x 版 ， 旧 版 的 2.x 版 在 设 定 上 有 点 不 一 样 ， 
因此 在 


进入 设 定 前 请 先 确认 你 的 samba 版 本 。 咱们 的 CentOS 6.x 主要 提供 的 


是 Samba 3.X 








的 版 本 ， 不 过 也 有 释 出 4.x 的 版 本 (samba4)， 我 们 这 里 主要 介绍 的 是 预 


设 的 3.x 版 
本 的 。 那 么 你 需要 什么 软件 呢 ? 基本 上 有 这 些 : 





N= 





samba: ”这 个 软件 主要 提供 了 SMB 服务 器 所 需 的 各 项 服务 程序 
(Smbd 及 


nmbd)、 的 文件 档 、 以 及 其 他 与 SAMBA 相关 的 logrotate 配置 文件 及 开 
机 默认 


选项 档案 等 ; 


samba-client: 这 个 软件 则 提供 了 当 Linux 做 为 SAMBA Client 端 时 ， 
所 


需要 的 工具 指令 ， 例 如 挂 载 SAMBA 文件 格式 的 mount.cifs、 取得 类 似 
网 方 相 


关 树 形 图 的 smbtree 等 等 ; 


0 这 个 软件 提供 的 则 是 服务 器 与 客户 端 都 会 使 用 到 的 


包括 SAMBA 的 主要 配置 文件 (smb.conf)、 语 法 检验 指令 (testparm) 等 
等 ; 
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这 三 个 软件 你 都 得 要 安装 才 行 咀 ! 如 果 尚 未 安装 的 话 ， 使 用 yum 去 装 
好 它 吧 ! 安 


装 完 毕 之 后 ， 你 可 以 依 序 察看 一 下 Samba 的 软件 结构 喔 ! 与 它 相 关 的 
配置 文件 基本 上 


有 这 些 : 
/etc/samba/smb.conf: 这 是 Samba 的 主要 配置 文件 ， 基 本 上 ， 咀 们 的 


Samba 就 仅 有 这 个 配置 文件 而 已 ， 且 这 个 配置 文件 本 身 就 是 很 详细 的 说 
明文 件 了 ， 

请 用 vim 去 查阅 它 吧 ! 主要 的 设 定 项 目 分 为 服务 器 的 相关 设 定 
(global)， 如 工 














作 组 、NetBIOS 名 称 与 密码 等 级 等 ， 以 及 分 享 的 目录 等 相关 设 定 ， 如 
实际 目录 、 


分 至 资 源 名 称 与 权限 等 等 两 大 部 分 。 


/etc/samba/lmhosts: 早期 的 NetBIOS name 需 额外 设 定 ， 因 此 需要 这 
人 
| 








lmhosts 的 NetBIOS name 对 应 的 IP 档 。 事实 上 它 有 点 像 是 /etc/hosts 的 
功能 ! 只 不 过 这 个 Imhosts 对 应 的 主机 名 是 NetBIOS name 喔 ! 不 要 跟 


/etc/hosts 摘 混 了 ! 目前 Samba 预 设 会 去 使 用 你 的 本 机 名 称 (hostname) 
作为 


你 的 NetBIOS name， 因 此 这 个 档案 不 设 定 也 无 所 谓 。 
/etc/sysconfig/samba: 提供 启动 smbd, nmbd 时 ， 你 还 想 要 加 入 的 相关 
服务 参数 。 


/etc/samba/smbusers: 由 于 Windows 与 Linux 在 管理 员 与 访客 的 账号 


称 不 一 致 ， 例 如 : administrator (windows) 及 rootllinuJ， 为 了 对 应 这 两 

者 之 间 的 账号 关系 ， 可 使 用 这 个 档案 来 设 定 
/Var/lib/samba/private/{passdb.tdb,secrets.tdb}: 管理 Samba 的 用 

户 账号 /密码 时 ， 会 用 到 的 数据 库 档 案 ; 


/usr/share/doc/samba-< 版 本 >: 这 个 目录 包含 了 SAMBA 的 所 有 相关 
的 技 


ee 也 就 是 说 ， 当 你 安装 好 了 SAMBA 之 后 ， 你 的 系统 里 面 就 已 
经 含有 相 


当 丰 富 而 完整 的 SAMBA 使 用 手册 了 ! 值得 高 兴 吧 ! 人 和 人， 所 以 ， 赶 紧 


自行 参考 
嘱 ! 


至 于 党 用 的 脚本 文件 案 方 面 ， 夺 分 为 服务 器 与 客户 端 功能 ， 则 主要 有 瓜 
下 这 力 个 数 


据 : 
/usr/sbin/{smbd,nmbd}: 服务 器 功能 ， 就 是 最 重要 的 权限 管理 (smbd) 
以 


及 NetBIOS name 查询 (nmbd) 两 个 重要 的 服务 程序 ; 

/usr/bin/{tdbdump,tdbtool}: 服务 器 功能 ， 在 Samba 3.0 以 后 的 版 本 
SA 己 经 转 为 使 用 数据 库 了 ! Samba 使 用 的 数据 库 名 
称 为 TDB 


DataBase)。 既然 是 使 用 数据 库 ， 当 然 要 使 用 数据 库 的 控制 指令 
来 处 


可 以 察看 数据 库 的 内 容 ，tdbtool 则 可 以 进入 数据 库 操 作 
食 口 








接手 动 修改 帐 密 参 数 。 不 过 ， 你 得 要 安装 tdb-tools 这 个 软件 才 行 ; 
/usr/bin/smbstatus: 服务 器 功能 ， 可 以 列 出 目前 Samba 的 联机 状况 ， 

括 每 一 条 Samba 联机 的 PID, 分 享 的 资源 ， 使 用 的 用 户 来 源 等 等 ， 让 你 

轻松 管 

理 Samba 啦 ; 
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/usr/bin/{smbpasswd,pdbedit}: 服务 器 功能 ， 在 管理 Samba 的 用 户 账 
与 


， 早期 是 使 用 smbpasswd 这 个 指令 ， 不 过 因为 后 来 使 用 TDB 数 
据 


?9 


因此 建议 使 用 新 的 pdbedit 指令 来 管理 用 户 数据 ; 


/usr/bin/testparm: 服务 器 功能 ， 这 个 指令 主要 在 检验 配置 文件 
smb.conf 


的 语法 正确 与 否 ， 当 你 编辑 过 smb.conf 时 ， 请 务必 使 用 这 个 指令 来 检查 
一 次 ， 


避免 因为 打字 错误 引起 的 困扰 啊 ! 


/sbin/mount.cifs: 客户 端 功能 ， 在 Windows 上 面 我 们 可 以 设 定 『 网 络 
张 


动 器 机 」] 来 连接 到 自己 的 主机 上 面 。 在 Linux 上面， 我 们 则 是 透 过 


mount 


(mount.cifs) 来 将 远程 主机 分 享 的 档案 与 目录 挂 载 到 上 自己 的 Linux 主机 上 
面 





哪 ! 

/usr/bin/smbclient: 客户 端 功 能 ， 当 你 的 Linux 主机 想 要 厌 由 『 网 络 上 
的 芳 邻 」 的 功能 来 查看 别 台 计算 机 所 分 享 出 来 的 目录 与 装置 时 ， 束 可 以 
使 用 
smbclient 来 查看 啦 ! 这 个 指令 也 可 以 使 用 在 目 己 的 SAMBA 主机 上 面 ， 
用 来 查 
看 是 否 设 定 成 功 哩 ! 


/usr/bin/nmblookup: 客户 端 功 能 ， 有 点 类 似 nslookup 啦 ! 重点 在 查 出 


NetBIOS name 就 是 了 。 


/usr/bin/smbtree: 客户 端 功能 ， 这 玩意 承 有 点 像 Windows 系统 的 网 络 





的 芳 邻 显示 的 结 末 ， 可 以 显示 类 似 『 靠 近 我 的 计算 机 」 之 类 的 数据 ， 
能 够 查 到 


工作 组 与 计算 机 名 称 的 树 状 目录 分 布 图 ! 


大 致 的 软件 结构 就 是 这 样 ， 底 下 就 准备 来 讲 一 个 简 蛙 的 案例 吧 ! 这 样 比 
较 好 介绍 配 


置 文件 项 目 啦 ! 
16.2.2 基础 的 网 芳 分 享 流程 与 smb.cont 的 常用 设 定 项 目 


既然 Samba 是 要 加 入 Windows 的 网 芳 服务 当中 ， 所 以 它 的 设 定 方式 应 


该 是 要 与 网 


芳 差 不 多 才 是 。 所 以 我 们 先 来 聊 一 聊 Windows 的 一 些 网 芳 设 定 方法 下 
说 。 在 早期 


Windows 的 网 芳 设 定 真是 很 简单 ， 不 过 也 因为 太 简 单 ， 所 以 产生 的 安 
全 问题 可 是 相当 


的 麻烦 的 。 后 来 在 Windows XP 的 SP2 (服务 包 第 二 版 ) 之 后 加 入 了 很 多 
的 预 设 防火 声 


机 制 ， 因此 使 用 网 廊 的 预 设 限制 常常 会 是 这 样 的 : 


服务 器 与 客户 端 之 间 必 须要 在 同一 个 网 域 当中 (否则 需要 修改 
Windows 预 


设防 火 墙 ); 
最 好 设 定 为 同一 工作 组 ; 
主机 的 名 称 不 可 相同 (NetBIOS name); 











Windows XP 最 多 仅 能 提供 同时 10 个 用 户 联 机 到 同一 台 网 芳 
服 


器 上 O 
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工作 组 与 主机 名 的 设 定 ， 你 可 以 在 『 我 的 计算 机 】 右 键 单 击 ， 选 择 内 容 
后 去 修订 相 


关 的 设 定 值 。 当 你 的 Windows 主机 群 符 合 上 述 的 条 件 后 ， 就 很 容易 处 
理 网 芳 分 享 的 工 


作 啦 ! 分 吾 的 步骤 一 般 是 这 样 的 : 


0 
下 


键 ， 选 择 『 共 享 ] ， 然 后 束 能 够 设 定好 分 享 的 数据 了 ; 


2. 最 好 建立 一 组 给 用 户 使 用 的 账号 与 密码 ， 让 其 他 主机 的 用 户 可 以 透 过 
该 账号 


密码 联机 进入 使 用 网 芳 分 享 的 资源 ; 
例题 : 
假设 你 打开 Windows XP 的 档案 总 管 ， 在 D:\VBird\Data 这 个 目录 下 ， 


0 
[你 了 解 


这 个 安全 风险 ， 但 仍 不 要 执行 精灵 而 共 孚 档案 ， 请 按 这 里 」， 然 后 勾 
选 [在 


网 络 上 共享 这 个 文件 来] ， 最 后 共 至 的 名 称 你 输入 了 : [VBGamel ， 
请 问 ， 假 


设 你 的 IP 是 192.168.100.20 ， 那 么 你 的 用 户 会 看 到 什么 网 址 列 ? 

















从， 

网 芳 的 资源 名 称 通常 的 写法 是 : 『 \NIP\ 分 享 资源 名 称 」， 我 们 的 分 享 资 
源 名 称 为 VBGame， 因 此 最 终 这 个 分 享 的 资源 名 称 应 该 是 : 

『 \192.168.100.20\VBGame 」 才 对 ! 很 多 朋友 都 会 写成 : 

『 \192.168.100.20\VBird\Game 」 那 错 得 很 离谱 喔 ! 


真是 有 够 简单 的 ! 那么 Samba 怎么 设 定 啊 ? 也 是 很 简单 ， 依 据 上 述 的 
限制 以 及 流 


程 你 可 以 这 样 想 象 : 
1. 服务 器 整体 设 定 方 面 : 在 smb.conf 当中 设 定 好 工作 组 、NetBIOS 主机 
2 


密码 使 用 状态 (无 密码 分 享 或 本 机 密码 ) 等 等 
2 规划 准备 分 享 的 目录 参数 ， 在 smb.conf 内 设 定好 预计 要 分 享 的 目录 或 
装置 


以 及 可 供 使 用 的 账号 数据 ; 


0 根据 步骤 2 的 设 定 ， 在 Linux 文件 系统 当中 
建立 


好 分 至 出 去 的 档 采 或 装置 ， 以 及 相关 的 权限 参数 ; 


4. 建立 可 用 Samba 的 账号 ;根据 步 又 2 的 设 定 ， 建 立 所 需 的 Linux 实体 
账 


号 ， 再 以 pdbedit 建立 使 用 Samba 的 密码 ; 
5. 启动 服务 : 启动 Samba 的 smbd, nmbd 服务 ， 开 始 运 转 哩 ! 


根据 上 面 的 流程 ， 其 实 我 们 最 需要 知道 的 就 是 smb.conf 这 个 配置 文件 的 
言 恩 就 是 











了 。 “所 以 首先 我 们 就 要 来 介绍 一 下 这 个 档案 的 设 定 方式 哆 ! 这 个 档案 
其 实 可 以 分 为 两 


部 份 来 看 ， 一 个 是 主机 信息 部 分 ， 在 smb.conf 当中 以 [global] (全 领域 ) 
作为 设 定 


的 依据 ， 男 一 个 则 是 分 享 的 信息 ， 以 个 别 的 目录 名 称 为 依据 。 另 外 ， 
由 于 Samba 主要 


是 想 加 入 网 芳 功能 ， 因 此 在 smb.conf 内 的 很 多 设 定 都 与 Windows 类 似 
喔 : 


在 smb.conf 当中 ， 井 字号 与 分 号 (# 跟 ;) 都 是 批注 符号 ; 


在 这 个 配置 文件 中 ， 大 小 写 是 没关系 的 ! 因为 Windows 没 分 大 小 
写 ! 
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smb.conf 的 服务 器 整体 参数 : [global] 项 目 
在 smb.conf 这 个 配置 文件 当中 的 设 定 项 目 有 点 像 底 下 这 样 : 


# 会 有 很 多 加 上 # 或 ; 的 批注 说 明 ， 你 也 可 以 自行 加 上 来 提醒 自己 相关 
设 定 








[globall 
参数 项 目 = 设 定 内 容 


[分 享 资源 名 称 ] 
参数 项 目 = 设 定 内 容 


在 [global] 当中 的 就 是 一 些 服务 器 的 整体 参数 了 ， 包 括 工 作 组 、 主 机 的 
NetBIOS 名 


称 、 字 符 编 码 的 显示 、 登 录 文 件 的 设 定 、 是否 使 用 密码 以 及 使 用 密码 
验证 的 机 制 等 等 ， 


都 是 在 这 个 [global] 项 目 中 设 定 的 。 至 于 [分 享 资源 名 称 ] 则 是 针对 你 开 
放 的 目录 来 


进 权限 方面 的 设 定 ， 包 括 谁 可 以 浏览 该 目录 、 是 否 可 以 恋 写 等 等 参数 。 
在 [global] 部 


分 关于 主机 名 信息 方面 的 参数 主要 有 : 
workgroup = 工作 组 的 名 称 : 注意 ， 主 机 群 要 相同 ; 
netbios name = 主机 的 NetBIOS 名 称 啊 ， 每 部 主机 均 不 同 ; 
server string = 主机 的 简易 说 明 ， 这 个 随便 写 即 可 。 


男 外 ， 过 去 常常 让 使 用 者 心 生 不 满 的 语系 显示 问题 方面 ， 你 务必 要 清楚 
的 知道 的 是 ， 


SAMBA 服务 器 上 面 的 数据 (例如 mount 磁盘 分 区 槽 的 参数 以 及 原本 的 
数据 编码 )， 


SAMBA 服务 器 显示 的 语系 , Windows 客户 端 显示 的 语系 , Windows 客户 
端 连 上 SAMBA 


的 软件 都 需要 符合 设 定 值 才 行 ! 在 新 版 的 3.x 上 面 有 效 个 提供 这 些 语系 
转换 的 设 定 喔 ， 


如 下 所 示 : 
display charset = 自己 服务 器 上 面 的 显示 编码 ， 例如 你 在 终端 机 时 所 
查 




















阅 的 编码 信息 。 一 般 来 说 ， 与 底下 的 unix charset 会 相同 。 


unix charset = 在 Linux 服务 器 上 面 所 使 用 的 编码 ， 一 般 来 说 就 是 i18n 
的 编码 嘿 ! 所 以 你 必须 要 参考 /etc/sysconfig/il8n 内 的 『 默 认 」 编 码 。 


dos charset = 了 驶 是 Windows 客户 端的 编码 了 ! 一 般 来 说 我 们 的 繁体 中 
文 


Windows 使 用 的 是 big5 编码 ， 这 个 编码 在 Samba 内 的 格式 被 称 为 『 
cp950 ] 


咀 ! 
关于 语系 编码 ， 建 议 你 参考 一 下 讨论 区 的 这 一 篇 : 
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http://phorum.vbird.org/viewtopic.php?t=22001 


我 们 的 网 友 eyesblue 写 得 太 好 了 ! 所 以 建议 大 家 下 接 前 往 查 阅 即 可 ! 在 
这 里 鸟 哥 


将 该 文章 内 容 作 个 例题 来 玩 玩 。 


例题 : 





假设 你 的 Samba 使 用 的 语系 /etc/sysconfig/il8n 显示 的 是 


[ LANG='"zh_TW.big5"” 」， 而 预计 要 分 享 的 目标 Windows 系统 是 
XP， 那 么 


你 的 语系 数据 应 该 如 何 设 定 ? 

答 : 

由 于 Linux, Windows XP 都 使 用 big5 编码 ， 因 此 设 定 值 应 该 是 : 
unix charset = cp950 


display charset = cp950 


dos charset = cp950 
除 此 之 外 ， 还 有 登录 文件 方面 的 信息 ， 包 括 这 些 参数 : 
log file = 登录 档 放 置 的 档案 ， 文 件 名 可 能 会 使 用 变量 处 理 ; 


max log size = 登录 档 最 大 仅 能 到 多 少 Kbytes ， 耕 大 于 该 数字 ， 则 会 
被 








rotate 掉 。 

还 有 网 芳 开 放 分 享 时 ， 安 全 性 程度 有 关 的 密码 参数 ， 包 括 这 几 个 : 
security = share, user, domain: 三 选 一 ， 这 三 个 设 定 值 分 别 代表 : 

o share: 分 享 的 数据 不 需要 密码 ， 大 家 均 可 使 用 (没有 安全 性 ); 

ouser : 使 用 SAMBA 服务 器 本 身 的 密码 数据 库 ， 密 码 数据 库 与 底下 的 

passdb backend 有 关 ; 

o domain: 使 用 外 部 服务 器 的 密码 ， 亦 即 SAMBA 是 客户 端 之 意 ， 如 果 


设 定 这 个 项 目 ， 你 还 得 要 提供 『password server = IP」 的 设 定 值 才 行 ; 





encrypt passwords = Yes 代表 密码 要 加 密 ， 注 意 那 个 passwords 要 有 s 
才 对 ! 


人 backend = 数据 库 格式 ， 如 前 所 述 ， 为 了 加 快速 度 ， 目前 密码 


己 经 转 为 使 用 数据 库 了 ! 默认 的 数据 库 格式 微 tdbsam ， 而 预 设 的 档案 
则 放置 到 





/var/lib/samba/private/passwd.tdb。 


事实 上 Samba 的 密码 方面 设 定 值 很 多 嘿 ， 包 括 你 还 可 以 利用 samba 来 
修改 








/etc/passwd “里头 的 人 物 的 密码 呢 ! ”不 过 这 个 时 候 就 得 需要 『 unix 
password sync | 


以 及 『 passwd program 」 这 两 个 参数 值 的 帮忙 了 。 我 们 这 里 先 谈 比 较 
简单 的 ， 其 他 


进 阶 的 部 分 可 以 man smb.conf 去 进行 搜寻 查阅 喔 ! 人 人 





net.qiang(Ohotmail.com 





分 诗 资 源 的 相关 参数 设 定 [分 享 的 名 称 ] 


名 称 ? 中 刮 号 里 面 放 的 是 『 分 享 名 称 」! ” 那 在 这 个 分 享 名 称 内 常 
见 的 参数 有 : 


[分 享 名 称 ] : 这 个 分 享 名 称 很 重要 ， 它 是 一 个 [代号 」 而 已 。 记 得 回 
看 





看 16.2.2 里 面 提 到 的 那个 范例 ; 
comment : 只 是 这 个 目录 的 说 明 而 已 ! 


path : 这 个 分 享 名 称 实 际会 进入 的 Linux 文件 系统 (目录 )。 也 就 是 
说 ， 


中 看 到 的 是 [分 享 ] 的 名 称 ， 而 实际 操作 的 文件 系统 则 是 在 path 
里 > 
所 设 定 的 。 

browseable : 是 否 让 所 有 的 用 户 看 到 这 个 项 目 ? 


writable : 是 否 可 以 写 入 ? 这 里 需要 注意 一 下 喔 ! 那个 read only 与 





writable 不 是 两 个 蛮 相 似 的 设 定 值 吗 ? 如 果 writable 在 这 里 设 定 为 yes ， 
让 


ee 如 果 read only 同时 设 定 为 yes ， 那 不 就 互相 抵触 了 ! 那 
| 





是 正确 的 设 定 ? 答案 是 : 最 后 出 现 的 那个 设 定 值 为 主要 的 设 定 ! 

create mode 与 directory mode 都 与 权限 有 关 的 咯 ! 

writelist = 用 户 , @ 群 组 ， 这 个 项 目 可 以 指定 能 够 进入 到 此 资源 的 特定 
使 
a 如 果 是 @group 的 格式 ， 则 加 入 该 群 组 的 使 用 者 均 可 取得 使 用 的 
又 限 ， 
设 定 上 会 比较 简单 ! 


因为 分 享 的 资源 主要 与 Linux 系统 的 档案 权限 有 关 ， 因 此 里 头 的 设 定 参 
数 多 与 权 


限 有 关 。 





smb.conf 内 的 可 用 变量 功能 


为 了 简化 设 定 值 ，Samba 提供 很 多 不 同 的 变量 给 我 们 来 使 用 ， 主 要 有 诬 
平 访 几 沾 要 


量 喔 : 


%S: 取代 目前 的 设 定 项 目 值 ， 所 谓 的 『 设 定 项 目 值 ) 就 是 在 [分 享 ] 
里 面 的 


内 容 ! 举例 来 说 ， 例 如 底下 的 设 定 范 例 : 


[homes| 


valid users = %S 
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三 3 
/ 、 
天 这 ES 
从 昌 已 如 
< 一 Age 
OD 


因为 valid users 是 允许 的 登入 者 ， 设 定 为 %S 表示 任何 可 登入 的 使 用 者 


够 登入 的 意思 一 今天 如 果 dmtsai 这 个 使 用 者 登入 之 后 ， 那 个 [homes] 就 
入 
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动 的 变 成 了 [dmtsai] 了 ! 这 样 可 以 明白 了 吗 ? %S 的 用 意 就 是 在 人 符 换 掉 
目前 


[] 里 面 的 内 容 啦 ! 
%m: 代表 Client 端的 NetBIOS 主机 名 喔 ! 
%M: 代表 Client 端的 Internet 主机 名 喔 ! 就 是 HOSTNAME。 
%L: 代表 SAMBA 主机 的 NetBIOS 主机 名 。 
%H: 代表 用 户 的 家 目录 。 
%U: 代表 目前 登入 的 使 用 者 的 使 用 者 名 称 
%g: 代表 登入 的 使 用 者 的 组 名 。 


%h: 代表 目前 这 部 SAMBA 主机 的 HOSTNAME 喔 ! 注意 是 
hostname 不 是 








NetBIOS name 喔 ! 
%I: 代表 Client 的 IP 咯 。 
%T: 代表 目前 的 日 期 与 时 间 


以 上 就 是 在 smb.conf 上 头 利 看 到 的 几 种 设 定 项 目 ， 相 信 初 次 接触 Samba 
的 朋友 ， 


和 写 的 资料 肯定 是 一 头 筋 水 的 ! 我们 底下 用 几 个 小 范例 来 实际 
的 介绍 smb.conf 


的 设 定 后 ， 你 殊 会 知道 这 些 参数 如 何 应 用 了 ! 记得， 看 完 确 下 的 下 范 
例 后 ， 要 回来 再 


将 这 些 参数 的 意义 瞧 一 瞧 ， ”而且 各 有 其 他 额外 的 参数 须知 ， 务 必 自 行 


man smb.conf 喔 ! 


重要 的 很 ! 








Tips: 

时 代 变 动 太 快 ， 版 本 变动 太 多 一 要 讲 完 所 有 的 参数 实在 是 很 难 的 一 
件 事 一 所 以 在 这 里 乌 哥 只 讲 一 些 常 用 的 设 定 项 目 ， 很 多 细 项 就 得 要 
笔 各 位 看 官 目 己 努 力 了 人 一文 末 也 有 列 出 很 多 Samba 的 在 线 资 源 ， 

















16.2.3 不 需 密码 的 分 享 (security = share, 纯 测试 ) 


瞎 密 ? 不 需要 密码 就 能 够 使 用 SAMBA 主机 所 提供 的 目录 资源 ? 真 假 ? 
没 错 啦 ， 可 


以 达到 的 。 不 过 ， 因 为 不 需要 密码 就 能 够 登入 ， ”虽然 你 可 以 设 定 权 限 
成 为 只 读 ， 让 使 





用 者 可 以 『 瞧 瞧 而 已 |」 ， 但 是 毕竟 比较 和 危险。 因为 如 果 你 不 小 心 将 重 
要 数据 放置 到 该 


分 享 的 目录 当中 ， 岂 不 危险 ? 所 以 尽量 不 要 这 样 设 定 ， 所 以 标题 才 会 


讲 : 


『 纯 测试 」 嘛 ! 


0. 假设 条 件 
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在 底下 的 案例 中 ， 服 务 器 (192.168.100.254) 预计 设 定 的 参数 状况 为 : 
在 LAN 内 所 有 的 网 芳 主机 工作 组 (workgroup) 为 : vbirdhouse 
这 部 Samba 服务 器 的 NetBIOS 名 称 (netbios name) 为 : vbirdserver 
使 用 者 认证 层级 设 定 (security) 为 : share 
取消 原本 有 放行 的 [homes] 目录 ; 
仅 分 享 /tmp 这 个 目录 而 已 ， 且 取 名 为 : temp 
Linux 服务 器 的 编码 格式 假设 为 万 国 码 (Unicode, 亦 即 utf8) 
客户 端 为 中 文 Windows ， 在 客户 端的 软件 也 使 用 big5 的 编码 


老实 说 ， netbios name 几乎 可 以 不 用 设 定 了 ， 因 为 现在 我 们 都 用 卫 进行 
网 秀 联 


机 ， 不 一 定 会 使 用 主机 名 嘛 ! 所 以 这 一 版 当中 ， 乌 哥 取消 了 lmhosts 的 
设 定 值 喔 ! 好 


了 ， 底 下 就 开始 依 序 来 进行 samba 的 设 定 吧 ! 





1. 设 定 smb.conf 配置 文件 


由 于 我 们 有 设 定语 系 相关 的 数据 ， 因 此 得 要 先 查 查看 ， 到 底 我 们 Linux 
服务 器 的 


语系 是 否 为 utf8 呢 ? 检查 方法 如 下 : 








[root@www ~]# cat /etc/sysconfig/il8n 
LANG="zh_TW.UTF-8" <== 确 实 是 出 现 了 utf8 喔 ! 


如 上 所 示 ， 确 实 是 utf8 啊 ! 而 在 这 个 例子 当中 我 们 仅 分 圣 /tmp 这 个 目 
录 而 已 ， 而 且 


假设 这 个 分 享 出 来 的 目录 是 可 控 写 的 ，“ 另 外， 我 们 并 没有 分 享 打 印 机 
喔 ! 而 在 smb.conf 


当中 的 批注 符号 可 以 是 『# 」 也 可 以 是 『; 」 喔 ! 要 注意 ! 








[root@www ~]# cd /etc/samba 

[root@www samba]# cp smb.conf smb.conf.raw <== 先 备份 再 说 ! 
[root@www sambal# vim smb.conf 

#1. 先 设 定好 服务 器 整体 环境 方面 的 参数 

[globall 

# 与 主机 名 有 关 的 设 定 信息 

workgroup = vbirdhouse 

netbios name = vbirdserver 


server string = This is vbird's samba server 


# 与 语系 方面 有 关 的 设 定 项 目 喔 ， 为 何如 此 设 定 请 参考 前 面 的 说 明 


Unix charset = utf8 

display charset = utf8 

dos charset = cp950 
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# 与 登录 文件 有 关 的 设 定 项 目 ， 注 意 变 量 (%m) 

log file = /var/log/samba/log.%m 

max log size = 50 

# 这 里 才 是 与 密码 有 关 的 设 定 项 目 哩 ! 

Security = Share 

# 修改 一 下 打印 机 的 加 载 方式 ， 不 要 加 载 啦 ! 

load printers 

= no 

#2. 分 享 的 资源 设 定 方面 : 主要 得 将 旧 的 批注 ， 新 的 加 入 ! 
# 先 取消 [homes], [printers] 的 项 目 ， 然 后 针对 /tmp 的 设 定 ， 可 浏览 
且 可 与 入 喔 


[temp] <== 分 享 资 源 名 称 





comment = Temporary file space <== 简 单 的 解释 此 资源 
path = /tmp <== 实 际 Linux 分 享 的 目录 

writable = yes <== 是 否 可 写 入 ? 在 此 例 为 

是 的 


browseable = yes <== 能 不 能 被 浏览 到 资源 名 称 
guest ok = yes <== 单 纯 分 享 时 ， 让 用 户 随意 
登入 的 设 定 值 


请 你 特别 留意 ， 在 原本 的 smb.conf 上 面 就 已 经 有 很 多 默认 值 了 ， 这 些 默 
认 值 如 果 你 不 


知道 他 的 用 途 ， 尽量 保留 默认 值 ， 也 可 以 使 用 man smb.conf 去 但 询 该 
默认 值 的 意义 。 


上 述 的 设 定 是 完全 控制 使 用 者 的 认证 层级 的 哟 ! 





2. 用 testparm 查阅 smb.conf 的 语法 设 定 正 确 性 


在 启动 samba 之 前 ， 我 们 务必 要 了 解 到 smb.conf 里 面 语法 是 否 正确 ， 
检验 的 方 


式 使 用 testparm 这 个 指令 即 可 。 测试 方式 如 下 : 

[root@www ~|]# testparm 

选项 与 参数 : 

-V : 碍 阅 完 整 的 参数 设 定 ， 连 同 默 认 值 也 会 显示 出 来 喔 ! 

[root@www ~ 上 #testparm 

Load smb config files from /etc/samba/smb.conf 

Processing section "[temp]" <== 看 有 几 个 中 括号 ， 寿 中 刊 写 前 出 现 讯 娠 ， 
则 有 错误 
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Loaded services file OK. 
Server role: ROLE _ STANDALONE 


Press enter to see a dump of your service definitions <== 按 Enter 继 





[global] <== 底 下 残 是 刚刚 在 smb.conf 里 头 设 定 的 数据 ! 
dos charset = cp950 

Unix charset = utf8 

display charset = utf8 

workgroup = VBIRDHOUSE 

netbios name = VBIRDSERVER 

server string = This is vbird's samba server 
security = SHARE 

log file = /var/log/samba/log.%m 

max log size = 50 

load printers = No 

[temp] 

comment = Temporary file space 

path = /tmp 

read only = No 


guest ok = Yes 


上 头 是 语法 验证 与 各 个 项 目的 列 出 ， 如 果 你 下 达 testparm 却 出 现 如 下 面 
面 那 就 是 有 问 


题 : 
[root@www ~ 上 #testparm 


Load smb config files from /etc/samba/smb.conf 





Unknown parameter encountered: "linux charset" <== 中 括号 前 为 错误 讯 
已 ! 


Ignoring unknown parameter "linux charset" 
Processing section "[temp]" 

Loaded services file OK. 

Server role: ROLE_STANDALONE 


Press enter to see a dump of your service definitions 


如 果 发 现 上 述 的 错误 ， 这 表示 你 的 smb.conf 有 个 『 linux charset 」 的 设 
定 参 数 ， 


不 过 smb.conf 其 实 是 不 支持 这 个 参数 的 。 可 能 的 问题 是 samba 2.x 与 
samba 3.x 有 


一 些 项 目的 支持 已 经 不 存在 了 ， 所 以 你 使 用 旧版 的 2.x 配置 文件 来 3.x 
上 头 执行 时 ， 


就 会 出 现 问题 。 此 外 ，『 打 字 错 误 | 也 是 很 常见 的 一 个 问题 响 ! 赶紧 测 
试 一 下 语法 先 ， 


然后 根据 smb.conf 存在 的 项 目 去 进行 修改 吧 。 
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如 果 你 想 要 了 解 samba 的 所 有 设 定 (包括 没有 在 smb.conf 里 头 设 定 的 默 


认 值 )， 


可 以 使 用 testparm -v 来 作 详 细 的 输出 ， 数据 相当 的 丰富 ， 透 过 这 个 你 
也 可 以 知道 你 


的 主机 环境 设 定 为 何 呢 ! 和 ^ 和 ^ 











3. 服务 圳 端的 服务 局 动 与 埋 口 观 罕 

启动 实在 太 简 单 了 ， 利 用 预 设 的 CentOS 启动 方式 来 处 理 即 可 。 
[root@www ~]# /etc/init.d/smb start <== 这 一 版 开始 要 启动 两 个 daemon 
[root@www ~]# /etc/init.d/nmb start 

[root@www ~]# chkconfig smb on 

[root@www ~]# chkconfig nmb on 

[root@www ~]# netstat -tlunp | grep mbd 

Active Internet connections (only servers) 

Proto Recv-Q Send-Q Local Address Foreign Address State 
PID/Program name 

tcp 0 0:::139 :::* LISTEN 

1772/smbd 

tcp 0 0 :::445 :::* LISTEN 

1772/smbd 

udp 0 0 192.168.1.100:137 0.0.0.0:* 


1780/nmbd 


udp 0 0 192.168.100.254:137 0.0.0.0:* 
1780/mmbd 

udp 0 0 0.0.0.0:137 0.0.0.0:* 
1780/nmbd 

udp 0 0 192.168.1.100:138 0.0.0.0:* 
1780/nmbd 

udp 0 0 192.168.100.254:138 0.0.0.0:* 
1780/nmbd 

udp 0 0 0.0.0.0:138 0.0.0.0:* 
1780/nmbd 


特别 注意 ， 在 Samba 当中 预 设 会 启动 多 个 端口 口 ， 这 包括 数据 传输 的 
TCP 端口 口 (139， 





445)， 以 及 进行 NetBIOS 名 称 解析 之 类 工作 的 UDP 塌 口 (137, 138)， 所 
以 你 才 会 看 


到 很 多 数据 的 。 那 么 能 否 仅 支持 139 这 个 必要 的 埠 口 ， 关 闭 445 呢 ? 可 
以 啊 一 透 过 


testparm -Vv 的 观察 ， 可 以 发 现 『 smb ports = 445 139 」 这 个 设 定 值 指定 
两 个 埋 口 


的 ， 因 此 你 可 以 在 smb.conf 增加 这 个 设 定 值 ， 并 改 为 smb ports = 139 即 
I 


建议 先 保 留 默 认 值 啦 ! 
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4. 假设 自我 为 客 己 端的 检验 (默认 用 lo 接口 ) 


关于 客户 端的 观察 我 们 会 在 后 续 进 行 介绍 。 在 这 里 仪 是 说 明 如 何 确 定 我 
们 的 Samba 


设 定 与 服务 有 顺利 的 在 运作 。 我 们 可 以 在 本 机 上 透 过 smbclient 这 文 程 
序 来 处 理 ， 它 


的 基本 查询 语法 是 这 样 的 : 

[root@www ~]# smbclient -L [// 主 机 或 IP] [-U 使 用 者 账号 ] 
选项 与 参数 : 

-L : 仅 查 阅 后 面 接 的 主机 所 提供 分 享 的 目录 资源 ; 

-U : 以 后 面 接 的 这 个 账号 来 尝试 取得 该 主机 的 可 使 用 资源 


由 于 在 这 个 范例 当中 我 们 并 没有 规范 用 户 的 安全 等 级 (share)， 所 以 不 必 
使 用 -U 这 个 


选项 ， 因 此 你 可 以 这 样 看 看 : 


[root@www ~]# smbclient -L /127.0.0.1 











Enter root's password: <== 因 为 不 需要 密码 ， 因 此 这 里 单 击 [Enter] 吧 ! 
Domain=[VBIRDHOUSE] OS=[Unix] Server=[Samba 3.5.4-68.el6_0.2] 
Sharename Type Comment 

temp Disk Temporary file space 


IPCS$ IPC IPC Service (This is vbird's samba 


server) 

Domain=[VBIRDHOUSE| OS=[Unix|] Server=[Samba 3.5.4-68.el6_0.2] 
Server Comment 

VBIRDSERVER This is vbird's samba server 

Workgroup Master 

VBIRDHOUSE VBIRDSERVER 


上 表 输 出 的 信息 当中 ， 分 享 的 目录 资源 (Sharename) 就 是 在 smb.conf 当 
中 设 定 的 


[temp] 名 称 > ! 因此 在 这 里 的 意思 是 : 任何 人 都 可 以 进入 
//127.0.0.1/temp 这 个 目 


录 当 中 ， 而 这 个 目录 在 Linux 系统 其 实 是 /tmp 目录 。 人 至 于 那个 IPC$ 则 
是 为 了 要 应 


付 Windows 环境 所 必须 要 存在 的 项 目 就 是 了 。 那 么 该 如 何 使 用 这 个 资 
源 呢 ? 接 下 来 我 


们 可 以 利用 mount 这 个 指令 来 测试 看 看 鹃 : 
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0 


[root@wWwww ~]# mount -t cifs //127.0.0.1/temp /mnt 
Password: <== 因 为 没有 密码 ， 所 以 这 里 还 是 按 Enter 即 可 


[root@www ~]# df 


Filesystem 1K-blocks Used Available Use% Mounted on 
.…( 前 面 省 略 ).…. 
//127.0.0.1/temp/ 1007896 53688 903008 6% /mnt 


[root@www ~]# cd /mnt 


ey mntj]# 1 <== 以 上 这 两 个 动作 要 进行 ! 才 会 知道 有 没有 权限 
条 问 ] 


题 ! 

[root@www mntl]# touch zzz 

[root@www mnt]# 1 zzz /tmp/zzz 

-TW-r--T--. 1 nobody nobody 0 Jul 29 13:08 /tmp/zzz 

-TW-r--T--. 1 nobody nobody 0 Jul 29 13:08 zzz 

# 注意 喔 ! 你 进入 /mnt 身份 会 被 压缩 成 为 nobody 呢 ! 不 再 是 root 啊 ! 
[root@www mntl# cd ; umount /mnt 


确实 可 以 挂 载 的 起 来 ， 所 以 ， 测 试 完 毕 后 ， 就 将 这 个 挂 载 的 资料 咎 除 
吧 。 关 于 mount 的 


用 法 ， 我 们 会 在 后 面 的 小 节 继 续 介 绍 。 


基本 上 ， 到 此 为 止 中 们 就 设 定好 一 个 简单 的 不 需要 密码 即 可 登入 的 
Samba 服务 器 








了 1 
下 来 ， 让 我 们 以 
简易 的 需要 密码 才能 够 登入 Samba 的 方式 来 设计 一 个 范例 吧 ! 


16.2.4 需 账 号 密码 才 可 登入 的 分 享 (security = user) 

















设 定 一 部 不 需 密码 即 可 登入 的 Samba server 是 非常 简单 的 ， 不 过 ， 你 总 
不 希望 


某 些 有 机 密 性 质 的 资料 放 在 不 设防 的 网 芳 中 让 大 家 查阅 吧 ? ”举例 来 
说 ， 你 总 不 希望 你 


的 家 目录 个 人 家 随意 浏览 吧 ? 家 目录 内 可 能 有 你 目 己 的 情书 呢 ! 人 信 


那 怎 么 办 ? 没关系 ， 我 们 可 以 透 过 Samba 服务 器 提供 的 认证 方式 来 进 
行 用 性 权力 

的 给 予 ， ”也 就 是 说 ， 你 在 客户 端 联机 到 服务 器 时 ， 必 须要 输入 正确 的 
账号 与 密码 后 ， 


才能 够 登入 Samba 查阅 到 你 目 己 的 数据 ! 那 会 不 会 很 难 啊 ? 不 会 啦 ! 
Samba 本 身 就 


提供 一 个 小 程序 来 帮助 我 们 处 理 密码 的 建立 了 ， 整 个 流程 还 不 太 难 。 


比较 重要 的 是 ”Samba 使 用 者 账号 必须 要 存在 于 Linux 系统 当中 
(/etc/passwd), 


但 是 Samba 的 密码 与 Unix 的 密码 档案 并 不 相同 (这 是 因为 Linux 与 网 芳 
的 密码 验 
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证 方式 及 编码 格式 不 同 所 致 )。 这 就 比较 有 点 小 抹 烦 一 没关系 ， 就 让 我 
们 依 样 画 戎 庐 来 


处 理 一 下 这 个 部 分 的 设 定 吧 ! 





0. 假设 条 件 


由 于 使 用 者 层级 会 改变 成 user 的 阶段 ， 因 此 [temp] 已 经 没有 必要 存 


在 ! 请 将 该 


设 定 删除 或 批注 。 ”而 服务 器 方面 的 整体 数据 则 请 保留 ， 包 括 工作 组 等 
等 的 数据 ， 并 新 


增 底下 的 资料 : 

使 用 者 认证 层级 设 定 (security) 为 : user 

用 户 密码 档案 使 用 TDB 数据 库 格 式 ， 默 认 档 案 在 
/Var/lib/samba/private/ 内 

密码 必须 要 加 窗 ; 

每 个 可 使 用 samba 的 使 用 者 均 拥有 自己 的 家 目录 ; 


设 定 三 个 用 户 ， 名 称 为 smb1, smb2, smb3 ， 且 均 加 入 users 为 次 要 群 
组 。 


条 





此 三 个 用 户 Linux 密码 为 1234， Samba 密码 则 为 4321; 
分 享 home/project 这 个 目录 ， 且 资源 名 称 取 名 为 : project; 
加 入 users 这 个 群 组 的 使 用 者 可 以 使 用 //IP/project 资源 ， 且 在 该 目录 
下 users 这 个 群 组 的 使 用 者 具有 写 入 的 权限 。 
好 了 ， 开 始 一 步 步 的 处 理 吧 ! 








1. 设 定 smb.conf 配置 文件 与 目录 权限 相关 之 设 定 


在 这 个 范例 的 配置 文件 当中 ， 我 们 会 新 增 几 个 参数 ， 新 增 的 参数 部 分 会 
用 特殊 字体 


圈 起 来 ， 引用 之 前 参数 的 部 分 则 为 一 般 字 体 。 请 交互 参考 看 看 吃 : 
#1. 开始 设 定 重要 的 smb.conf 档案 哆 ! 


[root@www ~]# vim /etc/samba/smb.conf 
[globall 

workgroup = vbirdhouse 

netbios name = vbirdserver 

server string = This is vbird's samba server 
unix charset = utf8 

display charset = utf8 

dos charset = cp950 

log file = /var/log/samba/log.%m 

max log size = 50 
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load printers 

= Do 

# 与 密码 有 关 的 设 定 项 目 ， 包 括 密码 档案 所 在 格式 喔 ! 


security = User <== 这 行 就 是 重点 啦 ! 改 成 user 层级 








passdb backend = tdbsam <== 使 用 的 是 TDB 数据 库 格 式 ! 





#2. 分 享 的 资源 设 定 方面 : 删除 temp 加 入 homes 与 project 
[homes] <== 分 享 的 资源 名 称 
comment = Home Directories 


browseable = no <== 除 了 使 用 者 自己 外 ， 不 可 


被 其 他 人 浏览 

writable = yes <== 挂 载 后 可 擦 写 此 分 享 

create mode = 0664 <== 建 立 档案 的 权限 为 664 
directory mode = 0775 <== 建 立 目录 的 权限 为 775 
[project] <== 就 是 那 三 位 使 用 者 的 共享 

comment = smbuser's project 


path = /home/project <== 实 际 的 Linux 上 面 的 目 


录 位 置 
browseable = yes <== 可 被 其 他 人 所 浏览 到 资源 
名 称 ( 非 内 容 ) 


writable = yes <== 可 以 被 写 入 

write list = Dusers <== 写 入 者 有 哪些 人 的 意思 

# 2. 每 次 改 完 smb.conf 你 都 需要 重新 检查 一 下 语法 正确 谷 ! 
[root@www ~]# testparm <== 详 细 的 debug 请 自行 处 理 哆 ! 
在 上 表 当 中 比较 有 趣 的 设 定 项 目 主要 有 : 


[global] 修改 与 新 增 的 部 分 : security 设 定 为 user 层级 ， 且 使 用 
[passdb 


backend = tdbsam」 这 个 数据 库 格 式 ， 因 此 密码 文件 会 放置 于 


/var/lib/samba/private/ 内 。 此 外 ， 默 认 密码 就 是 加 密 的 ， 因 此 不 需要 额 
外 








使 用 其 他 的 设 定 参数 来 规范 ; 


[homes] 这 个 使 用 者 资源 共享 部 分 : homes 是 最 特殊 的 资源 共享 名 
称 ， 


为 Linux 上 面 的 每 位 用 户 均 有 家 目录 , 例如 smbl 的 家 目录 位 于 
/home/smb1/,， 


那 当 smbl 用 户 使 用 samba 时 ， 她 就 会 发 现 多 了 个 /127.0.0.UsmbtL 的 











可 用 ， 而 smb2 就 在 /127.0.0.1smb2/ 这 个 资源 。 由 于 不 可 浏览 


(browseable)， 所 以 除了 使 用 者 可 以 看 到 上 自己 的 家 目录 资源 外 ， 其 他 人 
是 无 法 浏 


览 的 。 此 外 ， 为 了 规范 权限 ， 而 多 了 create mode 与 directory mode 两 个 


设 


定 值 (此 值 可 设 定 也 可 不 理会 ); 
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[project] 这 个 使 用 者 资源 共享 部 分 当 我 们 新 增 一 个 共享 资源 时 ， 最 
要 的 惑 是 规范 资源 名 称 。 在 此 例 中 我 们 使 用 project 这 个 资源 名 称 来 指 
回 
/home/project ， 也 就 是 说 ， /127.0.0.1/project 代表 的 是 home/project 


的 意思 。 此 外 ， 能 够 使 用 这 个 资源 的 账号 ， 为 加 入 users 这 个 群 组 的 用 
户 嘱 ! 透 


过 write list 这 个 项 目 比 较 单 纯 ， 如 果 是 早期 的 设 定 ， 可 能 会 使 用 valid 


users ， 但 近来 鸟 哥 比 较 偏 好 write list 设 定 项 目 。 不 过 能 和 否 顺利 的 存 取 
档 


案 还 与 Linux 最 底层 的 档案 权限 有 关 。 
干 万 不 要 忘记 了 ， 除 了 配置 文件 之 外 ， 详 细 的 目录 权限 与 账号 设 定 等 规 


范 也 要 设 定 

好 ! 底下 我 们 用 范例 来 进行 此 项 工作 ! 

例题 : 

我 们 预计 要 分 享 home/project 目录 ， 这 个 目录 的 权限 该 如 何 设 定 ? 


2 
Er 





因为 是 要 开放 给 users 群 组 ， 而 共享 群 组 的 权限 通常 是 『 2770 」 这 个 舍 
有 


SGID 的 特殊 旗 标 功 能 。 因 此 这 个 目录 应 该 如 此 设 定 才 好 : 
[root@www ~]# mkdir /home/project 

[root@www ~]# chgrp users /home/project 

[root@www ~]# chmod 2770 /home/project 

[root@www ~]#1 -d home/project 


drwxrws---. 2 root users 4096 Jul 29 13:17 /home/project 


2. 设 定 可 使 用 Samba 的 用 户 账号 与 密码 


设 定 使 用 者 账号 是 很 重要 的 一 环 ， 因 为 设 定 错误 的 话 ， 当 然 也 就 任何 人 
都 没有 办 法 


登入 的 ! 在 这 里 我 们 必须 先 要 说 明 一 下 Linux 的 文件 系统 与 SAMBA 设 
定 的 使 用 者 登入 


权限 的 相关 性 ! 











在 Linux 这 个 系统 下 ， 任 何 程序 都 需要 取得 UID 与 GID (User ID 与 


Group ID) 的 身份 之 后 ， 才 能 够 拥有 该 号 份 的 权限 ， 也 才能 够 适当 的 进 
行 存 取 档 


案 等 动作 ! 
关于 Linux 这 个 系统 的 UID 与 GID 与 账号 的 相对 关系 ， 一 般 记 录 在 
/etc/passwd 当中 ， 当 然 也 能 透 过 NIS, ldap 等 方式 来 取 对 应 ; 


仅 只 是 Linux 底下 的 一 套 软件 ， 使 用 SAMBA 来 进行 Linux 
文件 系 











统 时 ， 还 是 需要 以 Linux 系统 下 的 UID 与 GID 为 准则 ! 
如 果 上 面 这 几 点 说 明 你 没有 问题 了 ， 现 在 就 来 看 一 下 当 我 们 在 Windows 
计算 机 上 


面 以 网 络 上 的 方 邻 来 连接 Linux 并 且 进 行 数据 的 存 取 时 ， 会 是 怎样 的 一 
个 情况 呢 ? 
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我 们 需要 透 过 SAMBA 所 提供 的 功能 来 进行 Linux 的 存 取 ， 而 Linux 的 
要 取得 Linux 系统 上 面 的 UID 与 GID 的 ， 因 此 ， 我 们 登入 SAMBA 服 
务 器 时 ， 上 所 利用 


SAMBA 取得 的 其 实 是 Linux 系统 里 面 的 相关 账号 ! 这 也 就 是 说 ， 在 
SAMBA 上 面 的 使 用 


者 账号 ， 必 须要 是 Linux 账号 中 的 一 个 ! 


所 以 说 ， 在 不 考虑 NIS 或 LDAP 等 其 他 账号 的 验证 方式 ， 单 纯 以 Linux 
本 机 账号 


(/etc/passwd) 作为 身份 验证 时 ， 在 Samba 服务 器 所 提供 可 登入 的 账号 名 





称 ， 必 须要 


存在 于 ”/etc/passwd 当中! 这 是 一 个 很 重要 的 概念 ! 例如 你 要 先 有 
dmtsai 在 


/etc/passwd 当中 后 ， 才 能 将 dmtsai 加 入 Samba 的 使 用 者 当中 。 这 都 是 
很 基本 的 账 


号 权限 概念 ， 如 果 你 觉得 这 里 阅读 方面 有 问题 ， “在 不 考虑 马 哥 的 解释 
不 恨 ， 表 示 你 必 


须要 回去 读 读 基础 篇 了 一 人 和 


现在 我 们 知道 需要 新 增 smb1, smb2, smb3 三 个 用 户 ， 且 这 三 个 用 户 需 要 
加 入 


users 群 组 。 此 外 ， 我 们 之 前 还 建立 过 student 这 个 用 户 ， 假 设 这 四 个 人 
都 需要 能 用 


Samba 服务 ， 那 么 除了 新 增 用 户 之 外 ， 我 们 还 需要 利用 pdbedit 这 个 指 
令 来 处 理 Samba 


用 户 功能 喔 ! 
#1. 先 来 建立 所 需要 的 各 个 账号 ， 但 假设 student 已 经 存在 了 嘱 ! 














[root@www ~]# useradd -G users smb1 
[root@www ~]# useradd -G users smb2 
[root@Wwww ~]# useradd -G users smb3 
[root@www ~]# echo 1234 | passwd --stdin smb1 
[root@www ~]# echo 1234 | passwd --stdin smb2 
[root@www ~ 1# echo 1234 | passwd --stdin smb3 


# 2. 使 用 pdbedit 指令 功能 


[root@www ~]# pdbedit -L [-vw] <== 单 纯 的 察看 帐户 信息 

[root@www ~]# pdbedit -al-rl-x -u 账号 <== 新 增 /修改 /删除 账号 
[root@www ~]#pdbedit -a -m -u 机 器 账号 <== 与 PDC 有 关 的 机 器 码 
选项 与 参数 : 

-L: 列 出 目前 在 数据 库 当 中 的 账号 与 UID 等 相关 信息 ; 

-Vv : 需要 搭配 -L 来 执行 ， 可 列 出 更 多 的 讯息 ， 包 括 家 目录 等 数据 ; 

-w : 需要 搭配 -L 来 执行 ， 使 用 旧版 的 smbpasswd 格式 来 显示 数据 ; 

-a : 新 增 一 个 可 使 用 Samba 的 账号 ， 后 面 的 账号 需要 在 /etc/passwd 内 


-I: 修改 一 个 账号 的 相关 信息 ， 需 搭配 很 多 特殊 参数 ， 请 man pdbedit; 
-Xx : 删除 一 个 可 使 用 Samba 的 账号 ， 可 先 用 -L 找到 账号 后 再 删除 ; 


-m : 后 面 接 的 是 机 器 的 代码 (machine account), 与 domain model 有 
关 ! 


#2.1 开始 新 增 使 用 者 吧 ! 

[root@www ~]# pdbedit -a -u smb1 

new password: <== 输 入 4321 这 个 密码 瞧 瞧 

retype new password: <== 有 再 输入 一 次 吧 ! 

Unix username: smb1 <== 底 下 为 输入 正确 后 的 显示 结果 ! 
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NT username: 


Account Flags: [U ] 

User SID: S-1-5-21-4073076488-3046109240-798551845-1000 
Primary Group SID: S-1-5-21-4073076488-3046109240-798551845-513 
Full Name: 

Home Directory: \vbirdserven\smb1 

HomeDir Drive: 

Logon Script: 

Profile Path: \\vbirdserveN\smbl1\profile 

Domain: VBIRDSERVER 

Account desc: 

Workstations: 

Munged dial: 

Logon time: 0 

Logoff time: 9223372036854775807 seconds since the Epoch 
Kickoff time: 9223372036854775807 seconds since the Epoch 
Password last set: Fri, 29 Jul 2011 13:19:56 CST 

Password can change: Fri, 29 Jul 2011 13:19:56 CST 

Password must change: never 

Last bad password : 0 


Bad password count :0 


Logon hours : FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF 


# 你 可 以 友 现 其 实 讯 明 非常 的 多 ! 硝 需 修改 细部 设 定 ， 请 man pdbedit 
吧 ! 





[root@www ~]# pdbedit -a -u smb2 
[root@www ~]# pdbedit -a -u smb3 
[root@www ~]# pdbedit -a -u student 


#2.2 查询 目前 已 经 存在 的 Samba 账号 





[root@www ~]# pdbedit -L 

smb1:2004: 

smb3:2006;: 

smb2:2005: 

student:505: 

# 仅 会 列 出 账号 与 UID 而 已 哟 ! 

# 2.3 尝试 修改 与 删除 smb3 这 个 账号 看 看 
[root@www ~]# smbpasswd smb3 

New SMB password: 

Retype new SMB password: 

# 修改 密码 比较 特殊 ， 管 理 密码 参数 是 使 用 pdbedit， 修 改 密码 得 要 用 
smbpasswd 哟 ! 

[root@www ~]# pdbedit -x -u smb3 
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[root@www ~]# pdbedit -Lw 
# 此 时 你 就 看 不 到 smb3 这 个 用 户 哆 ! 所 以 测试 完 请 立即 将 它 加 回来 ! 


以 后 如 果 有 需要 新 增 额外 的 使 用 者 账号 ， 奉 该 账号 原本 不 存在 ， 则 使 用 
useradd 再 以 


pdbedit -a 去 新 增 。 知已 经 存在 于 Linux 的 实体 账号 ， 直 接 用 pdbedit -a 
新 增 即 


可 。 同 时 要 注意 ， 管 理 TDB 数据 库 格 式 建议 使 用 pdbedit 这 个 新 的 玩意 
儿 来 处 理 ， 


smbpasswd 仅 剩 下 修改 密码 的 功能 需 记 忆 即 可 ! 

















3. 重新 启动 Samba 并 进行 自我 测试 
在 经 过 重新 启动 后 ， 我 们 所 进行 的 修订 才 会 生效 。 然 后 使 用 “smbclient 


来 检查 


看 ， 是 舍 不 同 里 份 会 有 不 一 样 的 浏览 结果 呢 ? 赶紧 看 看 : 





[root@www ~|]# /etc/init.d/smb restart 
[root@www ~]# /etc/init.d/nmb restart 

#1. 先 用 匿名 登录 试看 看 ! 

[root@www ~]# smbclient -L /127.0.0.1 

Enter root's password: <== 直 接 按 下 [Enter] 即 可 。 


Anonymous login successful <== 有 看 到 匿名 的 字样 了 ! 





Domain=[VBIRDHOUSE| OS=[Unix|] Server=[Samba 3.5.4-68.el6 0.2] 


Sharename Type Comment 


project Disk smbuser's project 

IPC$ IPC IPC Service (This is vbird's samba 

server) 

…( 底 下 省 略 )..… 

#2. 再 使 用 smb1 这 个 账号 登入 试看 看 ! 

[root@www ~]# smbalient -L //127.0.0.1 -U smb1 

Enter smbl's password: <== 输 入 smb1 在 pdbedit 所 建立 的 密码 ! 
Domain=[VBIRDHOUSE] OS=[Unix] Server=[Samba 3.5.4-68.el6_0.2] 
Sharename Type Comment 

project Disk smbuser's project 

IPCS$ IPC IPC Service (This is vbird's samba 

server) 

smb1l Disk Home Directories <== 多 了 这 玩意 儿 ! 
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由 上 表 我 们 可 以 发 现 ， 经 由 不 同 的 身份 登入 可 以 取得 不 一 样 的 浏览 数 
据 ， 所 以 在 使 用 


上 面 需要 特别 留意 喔 ! 接 下 来 ， 让 我 们 开始 来 自我 挂 载 测 试看 看 ! 
[root@wWww ~]# mount -t cifs /127.0.0.1/Smb1l /mnt -o username=smb1 
Password: <== 确 定 是 输入 正确 的 密码 喔 ! 

# 此 时 /home/smb1/ 与 /mnt 应 该 拥有 相同 的 档 名 才 对 ! 因为 挂 载 嘛 ! 
[root@www ~]# 1 /home/smb1/.bashrc 

-rW-r--r--. 1 smbl smb1 124 May 30 23:46 /home/smb1/.bashrc <== 确 定 
有 档案 

[root@www ~]# ls -a /mnt 


# 却 看 不 到 任何 东西 ! 应 该 是 SELinux 的 问题 吧 ! 根据 


/var/log/messages 
的 讯 恩 ， 
# 进行 如 下 的 动作 就 能 够 处 理 好 这 个 程序 ! 





[root@www ~]# setsebool -P samba_enable home dirs=1 
[root@www ~]# ls -a /mnt 

... .bash_ logout .bash_profile .bashrc .gnome2 .mozilla 

# 档 名 出 现 啦 ! OKOK! 这 个 使 用 者 挂 载 处 理 完毕 ! 
[root@www ~]# umount /mnt 


自我 测试 是 非常 重要 的 ! 因为 ”Samba 是 会 对 外 提供 服务 的 ， 因 此 
SELinux 会 特别 『 关 


照 】 一 下 这 个 服务 ! 包括 默认 用 户 家 目录 不 会 有 开放 的 权限 、 预 设 的 
SELinux type 不 


对 束 无 法 使 用 (你 可 以 自己 尝试 挂 载 /127.0.0.1/project 就 知道 喻 原因 
嘱 ! )， 所 以 ， 


目 行 测 试 完毕 就 能 够 理解 哪个 地 方 的 SELinux 没有 设 定 妥 当 ! 详细 的 设 
定 请 到 16.2.6 


安全 性 设 定 去 查阅 。 
Tips: 

根据 网 友 回报 ， 因 为 之 前 我 们 设 定 的 security 是 share， 而 且 已 
经 使 用 Windows 系统 测试 过 ， 在 同一 部 Windows 系统 上 面 重复 测 
试 时 ， 会 发 生 无 法 登入 的 情况 。 建 议 直 接 将 windows 系统 重新 启动 


清除 前 一 次 登入 的 信息 即 可 ! 信人 





4. 关于 权限 的 再 说 明 与 累加 其 他 分 人 至 资源 的 方式 : 
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0 


有 的 时 候 你 会 发 现 ， 明 明 在 smb.conf 当中 已 经 设 定 了 writable 可 写 入 ， 
使 用 者 


登入 的 号 份 也 没有 问题 ， “为 啥 就 是 无 法 挂 载 或 写 入 呢 ? 是 人 否 是 服务 器 
设 定 哪里 还 有 问 


题 啊 ? 非 也 非 也 ! 主要 的 问题 常常 是 来 自 于 Linux 文件 系统 的 权限 啦 ! 
誉 上面 的 例子 来 说 ， 当 你 无 法 挂 载 却 发 现 Linux 传统 权限 是 对 的 ， 那 么 


由 十 十 








SELinux 出 问题 一 这 部 份 得 要 用 setsebool 与 chcon 或 restorecon 等 指令 


来 克服 。 
另外 就 是 ， 我 们 在 ”smb.conf ”当中 设 定 ”[project] ”为 可 写 入 ， 亦 即 


/home/project 是 


可 写 入 的 。 假 设 smbl 属于 users 这 个 群 组 ， 因 此 以 smbl 登入 SAMBA 
服务 器 后 ， 对 


于 /home/project 应 该 是 具有 可 以 读 写 的 能 力 的 ! 但 是 ， 如 果 你 以 root 的 
里 份 建 并 


/home/project 却 义 态 记 修改 权限 的 话 ， 此 时 /home/project 是 无 法 让 


users 这 个 


群 组 写 入 的 ， 因 此 smbl 这 个 使 用 者 当然 不 具有 写 入 的 能 力 。 这 样 说 ， 
了 解 乌 哥 想 要 


说 喻 了 吗 ? 注意 注意 喔 ! 和 和 

那 如 果 你 还 要 扩充 分 享 的 目录 与 能 够 登入 的 使 用 者 时 ， 可 以 这 样 做 : 
利用 编辑 smb.conf 来 开放 其 他 的 目录 资源 ， 并 且 特 别 注意 Linux 在 该 

| 














录 下 的 权限 喔 ! 请 使 用 chown 与 chmod 吧 ! 


利用 pdbedit 来 新 增 其 他 可 用 Samba 的 账号 ， 如 果 该 账号 并 没有 出 现 
在 


/etc/passwd 里 面 ， 请 先 以 useradd 新 增 该 账号 ; 
不 论 进行 完 任何 的 设 定 ， 请 先 以 testparm 进行 确认 ， 之 后 以 
/etc/init.d/{smb,nmb} restart 来 重新 启动 ! 


事实 上 ，SAMBA 的 一 般 用 途 就 是 在 这 个 联机 的 模式 中 ! 多 使 用 
SAMBA 来 分 享 你 的 


资源 吧 ! 乌 哥 都 是 使 用 SAMBA 来 做 为 远程 服务 占 与 我 的 工作 机 互通 有 
无 的 重要 媒介 


福 
16.2.5 设 定 成 为 打印 机 服务 器 (CUPS 系统 ) 


时 至 今日 ， 打 印 机 的 网 络 功能 已 经 很 强悍 了 ! 甚至 也 有 支持 无 线 网 络 的 
打印 机 ， 因 


此 每 台 打 印 机 都 可 以 独立 作为 各 个 PC 的 独自 的 打印 机 ， 老 实说 也 没有 
必要 进行 Samba 


的 网 络 打 印 机 服务 器 啦 ! 但 毕竟 还 是 有 些 比 较 旧 型 的 机 种 ， ”或 者 买 不 
起 有 内 建 网 络 的 


打印 机 时 ， 那 么 Samba 的 打印 机 服务 器 还 是 有 存在 的 价值 吃 。 


在 Linux 确 下 进行 打印 的 服务 很 多 ， 不 过 我 们 这 里 要 介绍 的 仅 有 目前 较 
广 为 流 行 





的 CUPS (Common Unix Printing System) 这 一 个 。 详细 的 CUPS 安装 设 
定 方 法 我 们 


己 经 在 基础 篇 第 三 版 第 二 十 一 童 CUPS 当中 提 过 ， 所 以 这 里 我 们 不 再 详 
细 说 明 ， 仅 介绍 


大 致 的 处 理 流 程 就 是 了 。 如 宁 你 需要 较 早 期 的 LPRng 打印 系统 的 话 ， 
建议 可 以 参考 底 


下 的 资料 喔 : 





乌 哥 的 LPRng 简介 : 


http://linux.vbird.org/linux server/0370samba/0370samba.php 
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Tips: 
在 这 个 小 节 中 ， 乌 哥 假 设 你 的 打印 机 并 不 是 网 络 打印 机 ， 而 是 使 用 
USB 接口 连接 的 打印 机 格式 。 如 果 你 的 打印 机 真 的 有 支持 网 络 ， 那 
建议 直接 参考 打印 机 手册 来 设 定 即 可 ， 不 需要 安装 Samba 打印 机 。 
因为 某 些 广 牌 的 打印 机 网 络 卡 有 特殊 的 功能 ， 例 如 HP 的 网 卡通 常 
还 文 持 某 些 特殊 的 打印 功能 ( 双 面 、 多 页 打印 等 )， 这 些 功能 透 过 人 
服 器 重新 分 享 时 ， 可 能 会 遗失 ! 


< 世 


0. 假设 条 件 


就 得 要 有 打印 机 啊 ! 乌 哥 使 用 对 Linux 支持 上 度 较 高 
入 HP 


LaserJet P2015dn 这 部 打印 机 为 例 ， 不 使 用 网 络 功能 ， 单 纯 使 用 USB 连 
接 到 Samba 


服务 器 上 。 
CUPS 连接 到 USB 打印 机 ， 并 且 开 放 非 本 机 的 IP 来 源 使 用 此 打印 
沁 ; 


使 用 CUPS 内 建 的 打印 机 驱动 程序 ; 
前 往 HP 打印 机 官网 取得 Windows 操作 系统 的 驱动 程序 ; 


1. 安装 打印 机 与 确定 打印 机 的 联机 正 管 


再 次 说 明 ， 关 不 是 所 有 的 打印 机 部 被 Linux 所 支持 的 ， 所 以 当 你 想 要 甸 
变 一 部 打 


印 机 到 Linux 系统 上 头 时 ， 请 务必 到 
http:/www.openprinting.org/printers 上 头 


去 看 看 是 个 有 被 文 持 喔 ! ”如果 没有 被 文 持 ， 那 就 换 一 部 打印 机 吧 ! 不 
要 进行 垂死 的 择 


:en 


如 果 你 的 打印 机 端口 为 使 用 USB 或 者 是 平行 串 行 端口 的 话 ， 那 么 当 你 
连接 上 打印 


机 后 ， 可 以 利用 底下 的 方式 测试 看 看 是 否 成 功 的 连接 上 了 : 














[root@www ~]# lsusb 

Bus 001 Device 002: ID 03f0:3817 Hewlett-Packard LaserJet P2015 series 
Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub 
[root@www ~]#1 /dev/usb/lp0 

CrW-rw----. 1 root lp 180, 0 Jul 29 13:55 /dev/usby/lp0 

# 看 得 出 来 ， 己 经 有 个 jp0 的 打印 机 吵 ! 测试 打印 一 下 吧 ! 
[root@www ~]# echo "Hello printer" > /dev/usb/lp0 

如 果 打 印 机 有 响应 ， 这 表示 OK 的 啦 ! 你 可 以 进行 底下 的 工作 了 。 
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2. 设 定 CUPS 与 打印 机 的 联机 


预 设 CUPS 都 会 开局， 不过， 因为 我 们 安装 的 是 『 basic server 」 的 模 
式 ， 所 以 


CUPS 默认 并 没有 被 安装 起 来 。 所 以 这 里 要 安装 且 重 新 设 定 与 启动 才 
行 。 本 章节 CUPS 


的 设 定 原则 是 这 样 的 : 
我 需要 让 192.168.100.0/24 这 个 网 域 可 以 使 用 打印 机 
我 需要 让 192.168.100.0/24 及 127.0.0.0/8 可 以 管理 CUPS 系统 
然后 开始 这 样 做 : 
[root@www ~]# yum groupinstall "Print Server" 
[root@www ~]# vim /etc/cups/cupsd.contf 
#1. 让 监听 的 接口 开放 在 所 有 接口 ! 
# Listen localhost:631 <== 约 在 第 18 行 左 右 ， 改 成 如 下 : 
Listen 0.0.0.0:631 
#2. 让 内 部 网 域 能 够 进行 CUPS 的 浏览 与 管控 
<Location /> <== 约 在 32 行 左 右 ， 新 增 能 够 让 内 网 其 他 IP 浏览 
Order allow,deny 
Allow From 127.0.0.0/8 
Allow From 192.168.100.0/24 
</Location> 
<Location /admin> <== 约 在 39 行 左 右 ， 新 增 能 够 管理 CUPS 者 


Encryption Required <== 因 为 这 里 的 关系 ， 所 以 可 能 会 用 https://IP 


喔 ! 

Order allow,deny 

Allow From 127.0.0.0/8 

Allow From 192.168.100.0/24 
</Location> 

设 定 完毕 后 就 可 以 开始 来 启动 cups 系统 ， 可 以 这 样 做 : 
[root@www ~|]# /etc/init.d/cups start 
[root@www ~]# chkconfig cups on 
[root@www ~]# netstat -tunlp | grep 'cups' 
tcp 0 0 0.0.0.0:631 0.0.0.0:* LISTEN 
1851/cupsd 

udp 0 0 0.0.0.0:631 0.0.0.0:* 
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习 不 受信 和 企 的 过 入 - Mozilla Firefox 
区 案 四 编辑 加 榨 视 (四 历史 他 吉 繁 巴 ) 工具 中 说 明 促 


e121( i 
您 要 求 Faefox 和 192.168.1.100:631 建立 安全 二 狠 ' 但 是 我 们 拓 法 礁 必 目 前 的 违 特 是 安 主 的 - 


一 般 来 台 ， 省 和 您 迪 立 实 主 违 锦 时 ， 拉 站 会 提供 身分 汶 别 以 给 明 您 过 到 了 正确 的 地 方 * 但 此 桐 站 
的 身分 扰 法 祛 胞 证 。 


我 喜 怎 弃 共 ? 
若 您 平常 不 言 过 下 诗 个 半 题 ， 此 和 钳 襄 讯息 代表 有 人 正 试 著 假 冒 雹 和 峰 站 ' 焕 不 雹 儿 技 浏览 
带 我 训 开 这 里 ! 2 
技术 和 入 


7 我 了 解 此 安全 风险 


如 果 您 知道 宫 何 错 强 ， 您 可 以 这 Fiefox 改 信任 此 身分 激 别 咨讯 ”即便 您 信任 此 手 站 ， 此 移 演 
依然 代表 有 八 正 武 著 委 时 蔷 鲍 站 


除非 您 有 理由 在 定 此 和 桐 站 身分 激 别 次 汛 治 有 问题 ， 否则 切 勿 新 增 例 外 撞 站 。 


新 增 交 外 顷 站 … | < 一 3 











1851/cupsd 


那个 631 的 埋 口 就 是 CUPS 所 局 动 的 啦 ! 要 注意 的 是 ， 开 放 界 面 得 要 给 
0.0.0.0 才 对 


喝 ! 然后 我 们 可 以 开始 设 定 打印 机 了 ! 由 于 CUPS 文 持 很 多 不 同 的 打 
印 机 端口 ， 每 种 


端口 都 不 一 样 ， 币 见 的 有 : 
USB 端口 : usb:/devwusb/lp0 
网 络 打印 机 : ipp:VWip/ 打 印 机 型 号 
网 络 秀 邻 打 印 机 :，smb:Wuser:password@hostprinter 


之 所 以 要 加 上 192.168.100.0/24 可 以 控制 服务 器 CUPS 的 原因 在 于 .… 鸟 
哥 的 服 


务 器 没有 X 窗口 啦 ! 所 以 需要 透 过 平时 的 工作 机 连 上 服务 器 才 行 啊 ! 
此 时 ,将 CUPS 开 


放 在 区 网 内 可 以 控制 的 功能 束 很 重要 啦 ! 此外， 因为 乌 哥 的 主机 所 在 
环境 问题 ， 这 部 


192.168.100.254 还 有 一 个 界面 为 192.168.1.100， 鸟 哥 在 cupsd.conf 里 面 
也 加 入 这 


9 (上 面 的 范例 中 并 没有 特别 强调 )， 所 以 底下 的 图 示 你 会 看 到 很 





192.168.1.100 的 IP ， 不 要 害怕 ! 那 是 正常 的 ! 和 人! 好 了 ， 请 打开 浏览 
器 ， 在 网 址 


列 输入 : https:/192.168.100.254:631 (底下 则 是 192.168.1.100) 
图 16.2-1、 用 CUPS 设 定 USB 打印 机 


如 上 图 所 示 ， 由 于 我 们 使 用 的 是 https 这 个 需要 凭证 的 联机 模式 ， 因 此 
就 会 出 现 


这 个 不 受信 任 的 网 站 讯 妃 。 没关系 ， 你 直接 按 下 『 我 了 解 安全 风险 | 
后 ， 再 选择 『 新 


增 例外 网 站 」 即 可 出 现 如 下 图 示 : 
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新 增 安 全 例外 Ex] 


您 正 试图 椅 甘 Firefox 要 如 何 识别 此 向 站 的 讼 定 < 














| \， 请 注意 :合法 的 报 行 、 商 店 或 其 他 公转 薪 站 不 富 要 求 您 运 认 着 ! 
sl92 168 1 100:631; 取得 活 讼 己 ) 
- 迁 仁 状态 
此 粒 站 当 斋 用 托 歼 的 咨讯 猎 别 自己 > 检视 CD*… 
籍 误 的 揣 站 
源 证 届 芥 不 同 的 弹 站 :该 柚 站 的 身分 可 能 已 被 盗用 > 1 
未 知 身分 


通 座 未 受信 任 ， 因 高 尚未 被 认得 的 活 讼 楼 构 验 座 


0 


Iv 永久 盘存 此 剖 外 耳 











确认 安全 例外 (C) | 取消 





图 16.2-2、 用 CUPS 设 定 USB 打印 机 


ei 那么 束 选 择 第 头 2 所 指 的 那个 『 永 久 储存 | 
吧 ! 最 后 


按 下 箭头 3 所 指 的 『 确 认 安 全 例外 上 即 可 ! 如 果 一 切 顺 利 ， 束 会 出 现 如 
下 的 CUPS 设 


定 图 示 : 
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管理 - CUPS 1.4.2 - Mozilla Firefox 





梓 案 四 编辑 加 榨 视 四 历史 思 韦 答 加 工具 位 说 明 促 














合 Home Administration Classes Online Help Jobs Printers 
1 
Printers 2 2 Server 
Add Printer | Find New Printers Edit Configuration File | View Access Log | View Error Los 
Classes Server Settings: 
Advanced > 
Add Class | Manage Classes | I¥ Show printers shared by other systems 
FF Share printers connected to this System 
和 a a FF Al Nrintinn fram the pn 
Ep https:W192.168.1.100:631 要 求 翰 入 帐号 茂密 码 ， 该 樟 站 说 : "CUPS" 
使 用 者 名 称 : | root 
密码 | @@ 作 很 归 多 蝴 | 


| 





图 16.2-3、 用 CUPS 设 定 USB 打印 机 


在 上 头 的 欢迎 图 示 当 中 ， 由 于 我 们 是 想 要 建立 打印 机 ， 因 此 氮 选 箭头 (]) 
所 指 的 那 


个 按钮 进入 打印 机 功能 ， 然 后 点 选 (2) 来 建立 打印 机 吧 ! 
图 16.2-4、 用 CUPS 设 定 USB 打印 机 


这 一 版 比较 有 趣 的 地 方 ， 是 会 先 让 你 输入 账号 与 密码 才 进 行 后 续 的 动作 
哩 ! 所 以 这 


里 请 输入 root 的 帐 密 吧 ! 
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新 增 印 表 权 - CUPS 1.4.2 - Mozilla Firefox 












菠 案 四 ” 编 蝇 区 核 议 (0 友 史 各 ” 害 比 世 工具 (D 说 明 男 
| 所 | 呆 | 2 https//192.168.1.100:631/adrminy 


Add Printer 





C SCS| 印 表 机 


Discovered Network Printers: 


other Network Printers: C Intemet 列 印 通 斌 起 定 (https) 
C Intermnet 列 印 通讯 协定 (ipp) 
C Internet 列 印 通 读 协 定 (http) 
C LPDILPR 主机 或 印 表 机 
C Windows Printer via SAMBA 
C AppSocketHP JetDirect 


come | < 一 2 


Local Printers: 好 HP LaserJet P2015 Series (HP LaserJet P2015 Series) : 
















书签 人 B 工具 位 说明 中 


富 -| Q mw - Google 





{May contain any printable characters except "7”, "#', and space) 


Description: [HP LaserJet P2015 Series 


(Human-readable description such as "HP LaserJet with Duplexer") 
2 Location: [vBird's Office 
(Human-readable location such as "Lab 1") 1 
i usbWHPILaserJet%20P2015%20Series 


Sharing: [vi Share This Printer 


le， 


Add Printer 
Name: [HP IaserJet_ P2015 Series 


图 16.2-5、 用 CUPS 设 定 USB 打印 机 


在 上 面 的 图 示 中 ， 你 应 该 要 选择 的 是 我 们 这 部 本 机 的 USB 打印 机 净 置 
才 对 。 该 装 


置 是 由 HAL 服务 所 自动 侦 测 到 的 ， 如 果 你 没有 看 到 任何 USB 的 打印 
机 ， 那 可 能 就 得 


要 查询 一 下 打印 机 电源 是 否 正确 的 开启 了 ! 点 选 他 吧 ! 
图 16.2-6、 用 CUPS 设 定 USB 打印 机 


建 并 打印 机 时 ， 最 重要 的 是 那个 打印 队列 (上 面 方 框 中 的 第 一 个 ， 名 称 
的 那个 玩意 


儿 )， 在 这 里 乌 哥 使 用 CUPS 预 设 帮 我 捉 到 的 档 名 。 这 个 名 称 很 重要 ， 
是 未 来 分 译 出 的 


打印 机 名 字 哆 ! 至 于 位 置 与 插 述 束 随 便 你 填 哆 。 由 于 我 们 是 想 要 做 成 打 
印 服务 器 ， 所 以 


[share this printer 」 当然 要 勾 选 ! 当 你 按 下 『 继 续 」 后 ， 就 会 出 现 如 下 
图 示 : 
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习 新 的 印 去 概 - CUPS 1.4.2 - Mozilla Firefox 
栓 案 四 编辑 加 检视 (四 历史 他 韦 输 加 工具 四 说 明 四 





2 https://192.168.1.100:631/d mn 


ee A A 


Connection: usb:i/HP/LaserJet%20P2015%20Series 
Sharing: Share This Printer 


Make: HP .selec Bnodher MakeNanufachurer | 





Model: Eo 5 
HP Laserlet P201S Series Postscript (en) 
HPLaserjetP2015 Series Postscript (en) 
HP LaserJet P2015 Series Postscript (en) 
HP LaserJet P2015 Series Postscript (en) 
HP 910, hpeups 3.9. (en) 1 
HP 915. hpeups 3.9.8 (en) 
HP2000c hpcurs 3.9.8 (en) 
HP 2500c hpeups 39.8 (En) 


Or Provide a PPD File: | 测 览 … | 





懈 起 定 印 志 楼 法 项 - CUPS 1.4.2 - Mozilla Firefox 
荃 案 四 坊 辑 加 检视 (四 历史 思 书 络 人 @ 工具 位 旋 明 思 








Set Default Options for HP_LaserJet _ P2015_Series 习 





General ”已 安 压 的 选项 ”标语 政策 


General 
Media Size: [Eee 8.5xllin 了 | 
Double-Sided Printing: [of "| 


Media Source: [Auosaet | 
Output Mode: [Grayscale 7| 
Media Type: [Plain Parer | 
Print Quality: [Nomal | 


Set Default Options 5 





图 16.2-7、 用 CUPS 设 定 USB 打印 机 
接 下 来 ” CUPS 会 帮 你 选择 一 个 相对 较 佳 的 驱动 程序 ， 基 本 上 ， 使 用 





CUPS 帮 你 捉 到 
的 预 设 驱 动 程序 应 该 就 OK 了 ! 选 完 后 请 按 下 『 加 入 打印 机 上 按钮 吧 ! 
图 16.2-8、 用 CUPS 设 定 USB 打印 机 


人 
] | Set 


Default Options」 按钮 吧 ! 如 果 一 切 没 有 问题 ， 你 的 打印 机 就 设 定 妥当 
了 。 如 果 想 要 


查阅 打印 机 的 详细 信息 ， 那 可 以 点 选 Printer 的 项 目 ! 如 下 图 所 示 : 
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:E33 Wo Mozilla Firefox ~Io|x| 


档案 四 ”编辑 加 ” 榨 视 四” 历史 他 书签 加 工具 人 外 说 明 人 四 
所 > CES hs/192.168.1.100:631i/printers 


: Home | Administration | Classes | Online Help | Jobs 








Search in Printers: 


Showing 1 of 1 printer. 


Y Queue Name Y Description Location Make and Model Stat 


HP LaserJet VBird's HP LaserJet p2015 Series 


P2015 Series Office pcl3, hpcups 3.9.8 Wie 


HP_LaserJet P2015_Series 


S and the CUPS logo are trademarks of Apple Inc. CUPS is copyright 2007-2009 Apple Inc. All nghts reserved 


Hs 





图 16.2-9、 用 CUPS 设 定 USB 打印 机 


如 果 都 正常 没 问 题 ， 那 么 你 的 系统 已 经 有 一 部 打印 机 被 CUPS 所 管理 ， 
且 这 部 打印 


机 在 网 络 的 网 址 为 : 


http:// 服 务 器 IP:631/printers/ 打 印 机 队列 名 称 
http://192.168.100.254:631/printers/HP_LaserJet_ P2015_Series 


接 下 来 看 看 如 何 将 它 连结 到 咀 们 的 Samba 服务 器 中 吧 ! 





3. 在 smb.conf 当中 加 入 打印 机 的 支持 (Optional) 

开始 告诉 Samba 将 这 部 打印 机 给 他 分 侠 出 去 吧 ! 你 需要 这 样 处 理 : 
[root@www ~]# vim /etc/samba/smb.conf 

[globall 

# 得 要 修改 load printers 的 设 定 ， 然 后 新 增 几 个 数据 

load printers = yes 

cups options = raw <== 可 文 持 来 自 Windows 用 户 的 打印 作 
业 

printcap name = cups 

printing = cups <== 与 上 面 这 两 个 在 告知 使 用 CUPS 打 

印 系统 

[printers] <== 打 印 机 一 定 要 写 printers 喔 ! 

comment = All Printers 

net.giang(@hotmail.com 

path = /Var/spool/samba<== 预 设 把 来 自 samba 的 打印 作业 暂 
时 放置 的 队列 


browseable = no <== 不 被 外 人 所 浏览 啦 ! 有 权限 才 可 浏 


览 
guest ok = no <== 与 底下 两 个 都 不 许 访客 来 源 与 写 入 
( 非 文件 系统 ) 


writable = no 

printable = yes <== 人 允许 打印 很 重要 的 一 项 工作 ! 
[root@www ~]# testparm <== 耕 有 和 错误， 请 自行 处 理 一 下 
[root@www ~]# /etc/init.d/smb restart 


[root@www ~]# /etc/init.d/nmb restart 


基本 上 透 过 这 样 的 设 定 你 的 ”Samba ”就 能 够 顺利 的 提供 打印 机 的 服务 
了 ! 不 过 可 惜 的 是 ， 


Windows 客户 端 依旧 得 要 安装 打印 机 的 驱动 程序 才能 够 使 用 Samba 所 
提供 的 打印 机 ， 


此 时 RE 有 没有 可 能 让 Samba 主动 的 提供 驱动 程序 给 
使 用 者 ， 


来 客户 端 就 不 需要 额外 去 找 驱 动 程序 吕 ! 是 可 以 的 ， 透 过 Samba 3.x 即 
可 处 理 ! 就 这 


么 巧 ， CentOS 的 Samba 就 是 3.x 呢 ! 所 以 我 们 可 以 透 过 底下 的 方式 来 
处 理 。 





4. 让 Samba 主动 提供 驱动 程序 给 Windows 用 户 使 用 


男 外 ， 或 许 你 会 想 ， 打 印 机 的 型 号 这 么 多 ， 那 么 Linux 该 如 何 提 供 这 些 
打印 机 的 


驱动 程序 啊 ? 岂 不 麻烦 ? 还 好 啦 ， CUPS 主要 是 透 过 利用 Postscript 的 
打印 语言 点 


打印 机 沟通 的 ， 因 此 客户 端 只 要 取得 postscript 的 驱动 程序 他 们 就 能 够 
使 用 咀 们 的 


Samba 服务 器 所 提供 的 打印 机 了 ! 如 此 一 来 ， 不 论 打印 机 的 型 号 为 
何 ， 只 要 他 们 能 够 


支持 Postscript 的 打印 格式 ，OK 搞定 ! 而 且 CUPS 官网 本 身 就 有 提供 
CUPS 的 


Postscript 驱动 程序 嘱 ! 可 以 到 底下 的 连结 去 下 载 : 
文 持 CUPS 的 软件 : http://www.cups.org/software.php 


很 棒 的 是 ， 因 为 我 们 是 CentOS 6.x 有 支持 rpm 软件 封装 的 系统 ， 因 此 
可 以 直接 


下 载 cups-windows-6.0-1.i386.rpm 这 个 档案 即 可 ， 直 接 安 装 这 个 rpm 档 
案 束 能 够 取 


得 cups 对 Windows 的 打印 机 驱动 程序 了 。 这 个 档案 安装 完毕 之 后 ， 会 
将 驱动 程序 放 


置 于 /usr/share/cups/drivers/ 里 头 哟 ! 不 过 你 得 要 注意 的 是 ， 除 了 这 个 驱 
动 程序 


外 ， 要 支持 Windows 2000 以 后 出 产 的 Windows 版 本 ， 你 还 得 到 
Windows XP 底下 的 


目录 去 下 载 几 个 32 位 支持 的 档案 : 
Win XP 32 位 : C:\WINDOWS\system32\spool\drivers\w32x86\3 


将 该 目录 下 里 面 的 PS 开头 的 档案 通通 下 载 下 来 ， 应 该 有 四 个 档案 的 ， 
请 将 他 复制 


成 为 档 名 小 写 的 档案 ， 并 且 放 置 到 你 Samba 服务 器 上 的 




















/usr/share/cups/drivers/ 
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目录 下 ， 该 目录 内 放置 的 这 束 是 基本 的 驱动 程序 次 ! ”在 乌 哥 的 这 个 目 
录 底 下 至 少 含有 


这 几 个 档案 就 是 了 : 

[root@www ~]# 1 /usr/share/cups/drivers 

-TrW-r--r-- 1 root root 803 4 月 20 2006 cups6.inf 

-TrW-r--r-- 1 root root 72 4 月 20 2006 cups6.ini 

-rW-r--r-- 1 root root 12568 4 月 20 2006 cupsps6.dll 

-rW-r--r-- 1 root root 13672 4 月 20 2006 cupsui6.dll <== 上 面 为 
cups 提供 

-rW-r--r-- 1 root root 129024 3 月 24 13:29 ps5ui.dll <== 底 下 为 
Win XP 提供 

-rW-r--r-- 1 root root 455168 3 月 24 13:29 pscript5.dll 
-TW-r--r-- 1 root root 27568 3 月 24 13:29 pscript.hlp 

-TrW-r--r-- 1 root root 792644 3 月 24 13:29 pscript.ntf 


上 述 的 档案 乌 哥 将 他 打包 成 为 一 个 档案 了 ， 你 可 以 在 底下 的 连结 下 载 : 





http://linux.vbird.org/linux server/0370samba/cups-samba-windowsxp.tg 


Z 


不 过 你 得 注意 ， 这 个 档案 内 的 Windows 数据 是 由 32 位 的 Windows XP 


上 面 捉 来 


的 ， 所 以 对 于 Windows 98/ME 是 没有 作用 的 。 同 时 ， 对 于 64 位 的 其 他 
较 晚 期 的 


Windows 7 等 系统 可 能 就 得 要 重新 处 理 了 ! 你 得 自行 上 网 查阅 相关 的 数 
据 下 载 方式 喔 。 


接 下 来 我 们 必须 要 在 smb.conf 里 面 增 加 一 笔 新 的 分 享 数据 ， 这 个 分 享 数 
据 必 须 是 


[print$] 名 称 才 行 ! 有 点 类 似 这 样 啦 : 








[root@www ~]# vim /etc/samba/smb.conf 


[global] 
…( 设 定 保 留 原 本 数据 )..… 
[homes] 

…( 设 定 保 留 原本 数据 )..… 
[printers] 

…( 设 定 保 留 原本 数据 )..… 
[print$] 


comment = Printer drivers 





path = /etc/samba/drivers <== 存 放 打 印 机 驱动 程序 的 目 
录 
browseable = yes 


guest ok = no 


read only = yes 

write list = root <== 这 个 驱动 程序 的 管理 员 
[project] 
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…( 设 定 保 留 原本 数据 )..… 

[root@www ~]# mkdir /etc/samba/drivers 


[root@www ~]# chcon -t samba_share_t /etc/samba/drivers 


# 由 于 预 设 的 CUPS 仅 有 root 能 管理 ， 因 此 我 们 以 root 作为 打印 机 管理 


3 


# 同时 SELinux 的 类 型 也 要 修订 如 上 的 方式 ! 

那 root 就 得 要 加 入 samba 的 

支持 才 行 : 

[root@www ~]# pdbedit -a -u root 

[root@www ~]# testparm <== 测 试 语法 

[root@www ~]# /etc/init.d/smb restart <== 重 新 启动 

[root@www ~]# smbclient -L /127.0.0.1 -U root 

Enter root's password: <== 输 入 root 在 samba 的 密码 先 
Domain=[VBIRDHOUSE] OS=[Unix] Server=[Samba 3.5.4-68.el6_0.2] 


Sharename Type Comment 


print$ Disk Printer drivers 

project Disk smbuser's project 

HP_LaserJet P2015_Series Printer HP LaserJet P2015 Series 
IPC$ IPC IPC Service (This is vbird's samba 

server) 

root Disk Home Directories 

# 瞧 ! 有 看 到 一 部 打印 机 以 及 驱动 程序 所 在 的 分 享 数据 哆 ! 


现在 我 们 要 告知 Samba 说 ， 我 们 的 CUPS 可 提供 Windows 客户 端的 驱 
动 程序 ， 所 以 用 


户 不 需要 自行 设 定 他 们 的 驱动 程序 哩 ! 要 由 cups 告知 Samba 是 由 
cupsaddsmb 这 个 


指令 来 搞定 的 ， 整 个 指令 的 执行 很 简单 的 : 

[root@www ~]# cupsaddsmb [-H SAMBA 服务 器 名 ] [-h CUPS 服务 器 名 ] \ 
> -a-v [-U 使 用 者 账号 ] 

选项 与 参数 : 


-H : 后 续 接 的 是 Samba 服务 器 名 ， 本 机 的 话 可 以 直接 用 localhost 即 
可 ; 


-h : 后 续 接 的 为 CUPS 的 服务 器 名 ， 同 样 的 可 使 用 localhost 即 可 ; 








-a : 自动 搜寻 出 所 有 可 用 的 CUPS 打印 机 ; 

-V: 列 出 更 多 的 信息 ; 

-U : 打印 机 管理 员 

# 利用 前 面 的 说 明 将 打印 机 驱动 程序 挂 上 SAMBA (注意 CUPS 管理 员 预 





root) 

[root@www ~]# cupsaddsmb -H localhost -U root -a -V 
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Password for root required to access localhost via SAMBA: <==root 在 
SAMBA 密码 


# es 说 明 已 经 安装 了 东 些 信息 ， 底 下 马 哥 仅 列 出 
简单 的 


讯 恩 而 已 。 








Running command: smbcalient /localhostprint$ -N -A /tmp/cupsbrdBak -c 
'mkdir 
W32X86;put /tmp/cupsul3O0SU W32X86/HP_LaserJet_ P2015_ Series.ppd;... 


[root@www ~]# 1 /etc/samba/drivers 





drwxr-xr-x. 3 root root 4096 Jul 29 15:15 W32X86 <== 这 就 是 驱动 程序 
目录 


最 后 在 驱动 程序 的 存放 目录 会 多 出 一 个 W32X86 的 目录 ， 你 可 以 查询 一 
下 该 目录 的 内 容 ， 











那 就 是 预计 要 给 客户 端 使 用 的 驱动 程序 啦 ! 这 样 就 搞定 了 ! 不 过 ， 为 了 
将 所 有 的 数据 通 


通 驱 动 ， 建 议 你 将 CUPS 及 SAMBA 通通 重新 启动 吧 ! 
[root@www ~]# /etc/init.d/cups restart 
[root@www ~]# /etc/init.d/smb restart 


[root@www ~]# /etc/init.d/nmb restart 


5. 一 些 问题 的 克服 : 


如 果 一 切 顺 利 的 话 ， 你 在 Windows 客户 端 应 该 可 以 顺利 的 连接 到 打印 
机 哆 ! 开心 


吧 ! 不 过 ， 如 果 你 曾经 印 错 数据 ， 那 么 该 如 何 进 入 Linux 的 Samba 主机 
将 该 数据 移 除 


呢 ? 你 最 好 知道 底下 的 几 个 指令 ， 关 于 这 些 指令 的 进 阶 用 法 则 请 目 行 
给 他 man 看 看 了 : 


#1. 列 出 所 有 可 用 的 打印 机 状态 

[root@www ~]# lpstat -a 

HP_LaserJet P2015_Series accepting requests since Fri 29 Jul 2011 
02:55:28 PM CST 

#2. 查询 目前 默认 打印 机 的 的 工作 情况 

[root@www ~]# lpg 

hpljp2015dn 己 就 绪 


没有 项 目 


人 
贝 )， 


会 如 下 所 示 : 

hpljp2015dn 已 就 绪 并 正在 打印 

等 级 拥有 人 工作 档案 总 计 大 小 

active root 2 Test Page 17408 byte 
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必 

# 3. 删除 所 有 的 工作 项 目 喔 ! 

[root@www ~]# lprm - 

# 加 上 那个 减 号 (-) 代表 移 除 所 有 等 待 中 的 打印 作业 ! 


打印 作业 就 是 这 样 进行 的 啦 ! 赶紧 试看 看 吧 ! 接 下 来 探讨 一 下 相关 的 防 
火 墙 与 安全 性 的 


讨论 ! 
16.2.6 安全 性 的 议题 与 管理 


使 用 SAMBA 其 实 是 有 一 定 程度 的 危险 性 的 ， 这 是 因为 很 多 网 络 攻击 的 
蠕虫 病毒 


ee 
预 设 的 


SELinux 已 经 关闭 了 很 多 Samba 联机 的 功能 ， 因此 默认 情况 下 ， 很 多 
客户 端的 挂 载 可 


能 会 有 问题 。 此 外 ， 仅 开放 有 权限 的 网 域 来 源 ， 以 及 透 过 smb.conf 来 管 
理 特 定 的 权限 ， 














也 是 很 重要 的 ! 同时 ，Linux 文件 系统 的 r，w, x 权限 也 是 需要 注意 的 
喔 ! 我 们 底下 


就 简单 的 介绍 一 下 一 些 基 本 的 安全 性 管理 吧 ! 


SELinux 的 相关 议题 : 
5) 里 面 提 到 的 ， 我 们 透 过 登录 档 的 内 容 就 能 够 知 





道 如 何 


解决 SELinux 对 各 个 服务 所 造成 的 问题 了 。 不 过 ， 既 然 我 们 知道 服务 是 
Samba 了 ， 能 


不 能 找 出 与 Samba 有 关 的 SELinux 规则 呢 ? 当然 可 以 ! 基本 的 Samba 
规则 主要 有 : 


[root@www ~]# getsebool -a | grep samba 
samba_domain_controller --> off <==PDC 时 可 能 会 用 到 
samba_enable_home_dirs --> off <== 开 放 用 户 使 用 家 目录 
samba_export_all_ro --> off <== 人 允许 只 读 文 件 系统 的 功能 
samba_export_all_rw --> off <== 人 允许 读 写 文件 系统 的 功能 
samba_share_fusefs --> off 

samba_share_nfs --> off 

use_samba_home_dirs --> off <== 类 似 用 户 家 目录 的 开放 ! 
virt_use_samba --> off 


看 吧 ! 几乎 所 有 的 规则 默认 都 是 关闭 的 ! 所 以 我 们 需要 慢 慢 的 打开 啊 ! 
目前 我 们 仅 会 用 


到 用 户 的 家 目录 以 及 分 吾 成 为 可 探 写 ， 不 过 似乎 仅 要 


samba_enable_home_dirs 那个 

项 目 设 定 妥 当即 可 喔 ! 因此 我 们 可 以 这 样 做 : 
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[root@www ~]#setsebool -P samba_enable_home_dirs=1 
[root@www ~]# getsebool -a | grep Samba_enable_home 


samba_enable home dirs --> on 


这 样 用 户 挂 载 他 们 的 家 目录 时 (例如 smbl 使 用 /127.0.0.Usmb1/ 就 不 会 
出 现 无 


法 挂 载 的 怪 问题 了 ! 此 外 ， ”由 于 分 享 成 为 ”Samba 的 目录 还 需要 有 


samba _share t 的 


类 型 。 那 我 们 还 有 分 享 /home/project 还 记得 吗 ? 那个 目录 也 需要 修订 
喔 ! 这 样 做 看 


看 : 

[root@www ~]#1 -Zd /home/project 

drwxrws---. root users unconfined_u:object_r:home_root_t:s0 
/home/project 

[root@www ~]# chcon -t samba_share_t /home/project 
[root@www ~]#1 -Zd /home/project 

drwxrws---. root users unconfined_u:object_r:samba_share_t:s0 


/home/project 


如 果 你 分 享 的 目录 不 只 是 Samba ， 还 包括 FTP 或 者 是 其 他 的 服务 时 ， 





那 可 能 就 得 要 使 


用 public_content t 这 个 大 家 都 能 够 读 取 的 类 型 才 行 ! 徊 你 还 有 发 现任 
何 SELinux 


的 问题 ， 请 依照 /var/log/messages 里 面 的 信息 去 修订 吧 ! 


防火 墙 议题 ， 利 用 iptables 来 管理 


最 简单 的 管理 登入 SAMBA 的 方法 就 是 透 过 iptables 啦 ! 详细 的 说 明 我 
们 已 经 在 





AAA ys en 


你 仅 要 针对 底下 
的 范围 开放 Samba 时 ， 可 以 这 样 想 : 
仅 针对 192.168.100.0/24, 192.168.1.0/24 这 两 个 网 域 开放 SAMBA 使 用 
权 
SAMBA 启用 的 port UDP: 137, 138 及 TCP: 139, 445; 


所 以 iptables.allow 规则 当中 应 该 要 加 入 这 几 项 : 





要 知道 的 是 ， 如 果 


[root@www ~]# vim /usr/local/virus/iptables/iptables.allow 

# 加 入 底下 这 几 行 ! 

iptables -A INPUT -i$EXTIF -p tcp -s 192.168.100.0/24 -m multiport \ 
--dport 139,445 -j ACCEPT 

iptables -A INPUT -i $SEXTIF -p tcp -s 192.168.1.0/24 -m multiport \ 


--dport 139,445 -j ACCEPT 
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iptables -A INPUT -i$EXTIF -p udp -s 192.168.100.0/24 -m multiport \ 
--dport 137,138 -) ACCEPT 

iptables -A INPUT -i $EXTIF -p udp -s 192.168.1.0/24 -m multiport \ 
--dport 137,138 -) ACCEPT 

[root@www ~]# /usr/local/virus/iptables/iptables.rule 


这 是 很 简单 很 简单 的 防火 载 规 则 ， 你 必须 要 依据 你 的 环境 自行 修改 ( 通 
常 修改 那个 


192.168.1.0/24 ”网 段 即 可 ! )。 由 于 smbd 及 nmbd 并 不 支持 TCP 
Wrappers ， 所 以 


你 也 只 能 透 过 iptables 来 控制 了 一 





防火 墙 议题 透 过 内 建 的 Samba 设 定 (smb.conf) 
事实 上 Samba 已 经 有 许多 防火 墙 机 制 啦 ! 那 就 是 在 smb.conf 内 的 hosts 


allow 


及 hosts deny 这 两 个 参数 。 通常 我 们 只 要 使 用 hosts allow 即 可 ， 那 么 没 
有 写 闵 芝 


个 设 定 项 目的 其 他 来 源 束 会 被 拒绝 联机 的 ! 这 是 比较 严格 的 设 定 。 闪 
例 来 说 ， 如 果 你 


只 想 要 让 本 机 、192.168.100.254， 192.168.100.10， 192.168.1.0/24 使 用 
SAMBA 而 


己 ， 那 么 可 以 这 样 写 : 


[root@www ~]# vim /etc/samba/smb.conf 


[globall 
# 跟 防火 墙 的 议题 有 关 的 设 定 
hosts allow = 127. 192.168.100.254 192.168.100.10 192.168.1. 
[homes|] 
… 保 留 原始 设 定 .… 
[root@www ~|]# testparm 


[root@www ~]# /etc/init.d/smb restart 


这 个 设 定 值 的 内 容 支 持 部 分 比 对 ， 因 此 192.168.1.0/24 只 要 写 出 前 面 三 
个 IP 段 即 可 


(192.168.1.)。 如 此 一 来 不 但 只 有 数 部 主机 可 以 登入 我 们 的 SAMBA 服 
务 器 ， 而 且 设 定 

值 又 简单 ! 不 像 iptables 写 的 落落 长 一 乌 哥 建议 在 防火 墙 议题 方面 ， 只 
要 使 用 


iptables 或 hosts allow 其 中 一 项 即 可 ， 当 中 又 以 hosts allow 较为 建议 
当然 


嘻 ! 





啦 ， 如 果 你 是 针对 区 网 开放 的 ， 那 么 设 定 iptables 防火 墙 反而 是 比较 好 
的 哄 ! 因为 不 


要 更 动 到 smb.conf 配置 文件 嘛 ! 让 服务 的 设 定 变 的 比较 单纯 些 一 


文件 系统 议题 : 利用 Quota 限制 用 户 磁 盘 使 用 
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既然 网 芳 是 要 分 享 文件 系统 给 用 户 的 ， 那 么 想当然 尔 ， 各 个 Samba 用 
户 们 确实 会 





将 数据 放置 到 你 的 Samba 服务 器 上 嘛 ! 那 万 一 单个 用 户 随 便 上 传 个 数 
百 GB 的 容量 到 


你 的 Samba 服务 器 ， 而 且 常常 给 你 随意 存 取 一 番 ， 会 不 会 造成 文件 系 
统 分 配 不 公 或 者 


征 市 宽 方面 的 问题 呢 ? 想 想 就 党 得 是 『 会 咏 ! 」 那 怎 办 ? 就 透 过 Quota 
磁盘 配额 啊 ! 磁 
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得 配额 我 人 
里 面 也 已 经 
有 实 作 过 ， 在 哲 下 请 你 依据 第 一 章 的 后 续 动 作 来 处 理 吧 ! 





例题 : 


我 们 预计 分 配 smb1l1， smb2， smb3 在 他 们 自己 的 家 目录 下 ， 各 拥有 
300MB/400MB 


(soft/hard) 的 磁盘 配额 限量 ， 那 该 如 何 做? 


人 5 。 
Er 





请 先 依据 第 一 章 的 Quota (1.2.2-3) 相关 数据 处 理 完 : 
/etc/fstab 加 入 /home 挂 载 点 的 usrquota,grpquota 等 设 定 值 ; 
重新 挂 载 home ， 让 Quota 实际 被 支持 ; 
以 quotacheck -avug 建立 Quota 的 数据 库 档 案 ; 
启动 Quota ; 
假若 你 已 经 于 第 一 章 就 处 理 完毕 了 ， 那 么 这 一 题 就 非常 简单 喔 ! 透 过 


edquota -u 


smb1 来 处 理 即 可 ! 





[root@www ~]# edquota -u Smb1l 


Disk quotas for user smb1 (uid 2004): 

Filesystem blocks soft hard inodes soft 

hard 

/dev/mapper/server-myhome 0 300000 400000 0 0 
0 

[root@www ~]# edquota -p smbl1 smb2 
[root@www ~|]# edquota -p Smbl smb3 
[root@www ~]# repquota -ua 

*** Report for user quotas on device /dev/mapper/server-myhome 
Block grace time: 7days; Inode grace time: 7days 
Block limits File limits 

User used soft hard grace used soft hard 

grace 

smb1 -- 32 300000 400000900 

smb2 -- 32 300000 400000800 

smb3 -- 32 300000 400000800 
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16.2.7 主机 安装 时 的 规划 与 中 文 届 区 挂 载 


现在 你 知道 Samba 服务 器 的 功能 是 用 来 作为 文件 服务 器 的 ， 每 个 使 用 
者 都 可 以 拥 


有 家 目录 ， 并 透 过 网 方 的 功能 来 链接 到 Samba 服务 器 中 。 这 就 有 个 问 


题 啦 ， 那 就 是 你 


的 使 用 者 如 果 太 多 ， 并 且 将 他 们 的 重要 数据 都 放 到 这 部 Samba 服务 器 
上 头 的 话 ， 那 肯 


定 /home 未 来 会 有 点 不 足 啊 ! 所 以 /home 所 在 的 磁盘 或 许可 以 使 用 大 一 
点 的 硬盘， 或 


者 使 用 磁盘 阵列 ， 使 用 LYM (基础 学 习 篇 第 三 版 士 五 童 ) 也 是 个 不 错 的 
方案 。 底下 为 


简单 的 思考 方 问 : 
在 安装 Linux 的 时 候 ， 建 议 不 需要 安装 X Window ; 


在 规划 Linux 时 ，/home 最 好 独立 出 一 个 partition ， 而 且 硬 盘 空间 最 
好 














能 够 大 一 些 ; 
/home 独立 出 来 的 partition 可 以 单独 进行 quota 的 作业 ， 以 规范 用 户 
的 





最 大 人 硬盘 用 量 ; 
无 网 卡 的 打印 机 (USB) 可 直接 链接 到 Linux 主机 再 透 过 Samba 分 
时 ; 

由 于 SAMBA 一 般 来 说 都 仅 针对 内 部 (LAN) 主机 进行 开放 ， 所 以 ， 
可 能 的 话 


SAMBA 主机 直接 使 用 private IP 来 设 定 即 可 ， 当 然 啦 ， SAMBA 是 否 
使 用 


private IP 还 得 视 你 的 整个 网 域 的 IP 网 段 的 特性 来 规划 。 以 马 哥 研究 室 


来 说 ， 


因为 实验 室 所 有 计算 机 的 IP 都 是 Public IP， 那 么 SAMBA 如 果 使 用 


Private 
IP 反而 会 让 大 家 都 无 法 连接 上 啊 ! 和信 


如 果 你 的 SAMBA 主机 使 用 Public IP 时 ， 请 特别 留意 规范 好 防火 墙 
的 设 定 ， 


尽量 仅 让 LAN 内 的 计算 机 可 以 联机 进来 即 可 ， 不 要 对 Internet 开放 喔 ! 


人 的 Samba 服务 器 需要 挂 载 含 有 中 文 的 partition 时 ， 壁 如 说 
尔 ， 千 未 


本 Windows XP 的 FAT32 文件 系统 挪 到 Linux 系统 下 ， 此 时 如 果 用 一 般 
模式 来 挂 载 该 


分 割 槽 时 ， 一 些 中 文档 名 可 能 会 无 法 被 顺利 的 显示 出 来 。 ”这 个 时 候 你 
就 得 需要 这 样 做 


了 了 : 
mount -t vfat -o iocharset=big5,codepage=950 /dev/sd[a-p][1-15] 
/mount/point 


其 中 iocharset 指 的 是 本 机 的 语系 编码 方式 ， codepage 则 与 远程 软件 有 
关 。 因 为 我 


们 是 在 本 机 进行 挂 载 ， 所 以 实际 上 使 用 iocharset 这 个 参数 即 可 啦 ! 更 
多 说 明 则 请 看 


下 节 的 客户 端 设 定 部 分 吧 ! 
16.3 Samba 客户 端 软件 功能 
现在 你 已 经 架设 好 了 Samba 服务 器 啦 ! 有 服务 器 当然 要 有 客户 端 来 使 


用 才 是 好 的 


服务 器 嘛 ! 不 然 要 这 个 服务 器 干 嘛 ? 而 我 们 假设 局 域 网 络 内 有 
Windows/Linux 系统 ， 
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这 两 种 系统 都 是 透 过 NetBIOS over TCP/IP 来 连 上 Samba 服务 器 的 ， 在 
设 定之 前 你 


必须 要 知道 的 有 几 件 事 : 
在 区 网 内 的 主机 最 好 具有 相同 的 工作 组 ， 且 具有 不 同 的 主机 名 ， 
Windows XP pro. 最 多 仅 能 允许 十 个 用 户 同时 连接 到 目 己 的 网 方 ; 
你 可 以 在 网 芳 当 中 看 到 的 通常 是 相同 群 组 的 主机 ; 
可 以 使 用 『 搜 寻 」-->『 计 算 机 」--> 『 输 入 卫 」 来 碍 到 Samba 主机 ; 


Windows 的 网 芳 预 设 仅 有 同一 卫 网 段 的 主机 才能 登入 (Windows 防火 
墙 


设 定 )! 
接 下 来 咱们 就 分 别 依照 Windows 及 Linux 系统 来 做 说 明 吧 ! 
16.3.1 Windows 系统 的 使 用 


在 Windows 上 和 面 的 搜寻 网 络 上 的 网 廊 主 机 实在 挺 简 单 的 ， 你 有 好 几 种 
方法 可 以 处 


理 : 
打开 『 档 案 总 管 」 ，『 网 络 上 的 务 邻 」、『 整 个 网 络 】、 『Microsoft 


Windows 








Network」 束 能 看 到 属于 你 群 组 的 所 有 计算 机 主机 了 ! 


[开始 | 、『 搜 寻 」、『 档 肥 或 文件 来] 、 了 计算 机 或 人 员 上 、 【网 
络 上 的 


计算 机 」， 然 后 在 出 现 的 方 框 当中 填写 正确 的 ”IP ， 按 下 了 搜寻 」 即 
司 4 区 


法 可 以 适用 于 不 在 同一 个 群 组 当中 的 网 络 主机 喔 ! 
如 果 是 Windows 7 的 话 ， 只 要 点 选 文件 夹 即 可 。 


举例 来 说 ， 如 果 想 要 连接 到 我 们 的 Samba 主机 的 话 ， 而 又 不 知 到 这 部 
Samba 主机 


的 NetBIOS name ， 那 利用 搜寻 的 结果 会 有 点 类 似 如 下 的 图 示 : 
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图 16.3-1、Windows 7 客户 端 搜寻 示意 图 


上 图 左 侧 先 点 选 『 网 络 ] ， 然 后 到 右上 方 的 框框 中 ， 输 入 NetBIOS 
name， 若 不 知 


道 的 话 ， 就 留 白 让 Windows 7 自己 找 。 如 上 图 所 示 ， 就 有 找到 三 部 网 
络 主机 啊 ! 我 们 


来 点 选 一 下 VBIRDSERVER 吧 ! 因为 要 登入 人 家 服务 器 ， 所 以 就 被 要 
求 要 输入 密码 。 如 


下 图 所 示 ， 请 填写 好 你 所 拥有 的 账号 与 密码 吧 ! 
图 16.3-2、Windows 7 客户 端 登入 SAMBA 服务 器 示意 图 


各 顺利 登入 系统 了 ， 那 么 就 能 够 看 到 如 下 的 图 示 ， 就 是 取得 该 服务 器 的 
可 用 资源 啦 ! 


因为 我 们 并 没有 针对 Windows 7 提供 打印 机 的 驱动 程序 ， 那 部 份 先 略 
过 。 我 们 现在 来 


将 project 挂 载 成 本 机 磁盘 试看 看 : 
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给 合 管理 x ”六 路 和 共用 二 心 。 。” 术 神 遂 清 各 表 机 基 
文 仁 ^ 
收 坪 地 HP_LaserJet_P2015_Series 
图 县 所 . 
加 = oj 
前 融 (O) 
ij 团 雷 联 在 新 模 害 关 艇 (E) 
永吉 可 以 瞩 深 浏览 (A) 
i 撕 跨 还 原 蔡 版 (V) 








” 连 绿 抱 路 雁 辜 机 (M).… NS 
剖 捧 (C) 
建立 捷 倒 (9) 


| 
I 













共用 获 控 状 鞍 : 





. project (WVBIRDSERVER) 其 稼 可 用 性 : 


您 想 对 应 什么 网 路 资料 夹 ? 


请 手 定 个 绽 伴 代 苇 以 反 要 党 沽 的 次 苦头 : 











资料 交 (O): [NVBIRDSERVE R\project = | 浏 络 (B).. 


得 例 : \\serven\share 
登入 时 芋 新 到 综 (R) 
使 用 不 同 的 认 齐 过 综 (C) 


侯 可 以 甲 末 售 在 文 件 太 慎 





图 16.3-3、Windows 7 客户 端 登入 SAMBA 服务 器 示意 


如 上 图 所 示 ， 在 project 上 面 右 键 单 击 ， 选 择 『 联 机 网 络 驱 动 器 机 」， 
就 会 出 现 


如 下 的 画面 让 你 去 选择 挂 载 磁 盘 驱 动 器 的 参数 喔 : 


图 16.3-4、Windows 7 客户 站 挂 载 网 络 驱 动 右 机 的 示意 图 
你 可 以 自己 调整 想 要 的 驱动 器 号 ， 例 如 预 设 的 Z 槽 ， 那么 以 后 你 的 档 


案 总 管 中 就 


会 生出 一 个 Z 槽 ， 该 磁盘 槽 就 代表 \192.168.100.254\project 那个 分 享 的 
目录 哆 ! 
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下 知 亏 鞋 : 等 Windows 防火 挤 封 瘦 新 的 肘 式 


图 留 公用 所 络 (P) 
让 Windows 系统 的 网 秀文 持 不 同 网 域 的 了 联机 


由 于 网 方 的 资 安 问 题 越 来 越 严 重 ， 因 此 Windows XP 之 后 的 版 本 都 预 设 
仅 开放 本 机 


IP 网 域 的 网 芳 联 机 而 已 。 如 果 你 的 Windows 想 要 让 别人 可 以 在 Internet 
或 不 同 的 


IP ”网 段 对 你 联机 时 ， 你 束 得 修改 一 下 防火 墙 的 设 定 啊 ! ”请 叫 出 控制 


全 一 


台 ， 然 后 点 选 
[Windows 防火 墙 」 束 会 出 现 如 下 的 图 示 了 : 
图 16.3-5、Windows 7 服务 器 防火 墙 示意 图 


因为 我 们 得 要 细部 设 定 防 火 墙 ， 因 此 点 选 上 图 中 左 侧 的 『 进 阶 设 定 」 来 
取得 如 下 图 


示 吧 ! 
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内 器 肥 渤 沾 安全 性 生 Windows 防火 治 [el 
到 守 内。 拱 行 (A 梳 误 起 二 (H) 
和 中 | 放 国 | 忆 | 日 国 


1 之 入 规则 



























现 : 芭 入 坊间 | 各 大 和 
这 | 回扣 过去 页 雪 了 夫 局 (N8-Session 用 得 及 及 印 系 耻 夫 月 
| 全 委 妆 去 如 志 党 二 习 (N8-Sessionfin) 奖 守 到 引 琳 煤 关 写 
全 宇 二 三 且 雪上 坡 二 后 (N8-SessioWin) 往 喜 去 及 妥 谍 条 与 





徇 袜 有 印 脓 庆 共 用 
六 一 一 


人 @ 各 寺 到 引 到 妾 二 局 (SMB-In) 








本 楼 下 位 址 
中 人 @ 任何 全 位 址 N) 4 
| 革 4 这 些 训 位 址 (T): 





3 


可 沙 下 位 址 
| 时 口 任 何 卫 位 直人 
| 党。 @ 这 此 二 位 址 (I) 


图 16.3-6、Windows 7 服务 器 防火 墙 示 意 


还 记得 网 络 是 双 同 的 吧 ? 所 以 ， 我 们 得 先 要 针对 输入 (从 外 部 连 到 本 机 ) 
的 规则 来 


5 














处 置 。 如 上 图 所 示 ， 按 下 “(D 输 入 规则 ， 然 后 点 选 (2) 档 案 及 打印 机 共 
译 ， 之 后 到 (3) 


选择 详细 的 规则 内 容 ， 会 出 现 另 外 一 个 窗口 ， 在 (4) 点 选 『 领 域 」 的 部 
分 来 设 定 不 同 网 


段 ， 最 终 在 (5) 的 地 方 『 新 增 上 可 进入 本 机 的 远程 卫 网 段 呢 ! 按 下 新 增 
会 出 现 如 下 


图 示 咀 : 
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“指定 要 比 圣 的 卫 位 址 : 
,| ”加 此 二 位 址 或 子 网 路 (8): 
192.168.100.0724 


2002:9 :208:74ff:fe39:6cd3 
2002 03b: la31:W08.74if:fe39:0/112 


名 这 从 卫 位 址 范围 慌 ): 
从 四 :| 











到 | 人 (TY: | 
各 预先 定 雯 的 电脑 焦 公 ): 














192.168.1.0524 


让 豆 夺 豆 条 党 又 


[V192.168.100.254 人 x | 天 而 |，| 








图 16.3-7、Windows 7 服务 器 防火 墙 示 意 


如 上 图 所 示 ， 在 (H) 填 写 正确 的 IP 或 网 段 ， 然 后 按 下 (2) 确 定 后 ， 就 能 
够 在 (3) 


的 框框 当中 出 现 可 联机 的 远程 服务 器 哆 ! 


透 过 port 445 的 特殊 登入 方式 


如 果 你 知道 Samba 服务 器 有 启用 port 445 ， 并 且 他 已 经 分 享 了 某 个 目录 
时 ， 举 


例 来 说 ， 我 们 的 192.168.100.254 有 分 享 出 project 这 个 分 享 资源 名 称 
时 ， 那 么 这 个 


目录 的 完整 写法 为 : 『 \192.168.100.254\project 」 ， 我 们 可 以 透 过 『 开 
始 」 出 现 


的 那个 方 框 来 处 理 这 个 玩意 儿 ! 如 下 所 示 : 


图 16.3-8、Windows 7 透 过 port 445 联机 
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如 果 可 以 登入 的 话 就 会 顺利 登入 ， 否 则 就 会 弹出 一 个 要 你 输入 账号 密码 
的 窗口 ， 输 


入 正确 的 数据 即 可 ! ” 呼 呼 ! 真 过 阁 一 除 此 之 外 ， 我 们 还 可 以 登入 别人 
Windows 主机 的 


C 或 DD 覃 喔 ! 写法 则 变 成 这 样 : 
\192.168.100.20\c$ 
所 以 说 ， 怕 了 吧 ! 俺 还 真 害怕 一 所 以 啊 ，Samba 没 必要 时 ， 那 个 port 


445 应 该 是 
可 以 关闭 的 吧 ! 
16.3.2 Linux 系统 的 使 用 





smbclient: 查询 网 芳 分 享 的 资源 ， 以 及 使 用 类 似 FTP 的 方式 上 传 / 下 载 
网 


天 


咱们 的 Samba 有 提供 Linux 网 芳 的 客户 端 功 能 喔 ! 也 就是 说 Linux 可 以 
挂 载 


Samba 服务 器 也 能 挂 载 Windows 提供 的 网 芳 啦 ! 主要 是 透 过 smbdlient 
来 观察 ， 再 以 


mount 来 挂 载 文件 系统 哩 。 先 来 介绍 一 下 smbclient 这 个 指令 吧 : 
#1. 关于 查询 的 功能 ， 例 如 查 出 192.168.100.254 的 网 芳 数 据 
[root@clientlinux ~]# smbclient -L WUPIhostname] [-U username] 
[root@clientlinux ~]# smbclient -L //192.168.100.254 -U smb1 

Enter smb1's password: 

Domain=[VBIRDHOUSE] OS=[Unix] Server=[Samba 3.5.4-68.el6_0.2] 
Sharename Type Comment 

project Disk smbuser's project 


print$ Disk Printer drivers 


IPC$ IPC IPC Service (This is vbird's samba 

server) 

HP_LaserJet P2015_Series Printer HP LaserJet P2015 Series 
smb1 Disk Home Directories <== 等 一 下 用 这 个 当 

范例 

Domain=[VBIRDHOUSE] OS=[Unix] Server=[Samba 3.5.4-68.el6_0.2] 
Server Comment 

VBIRDSERVER This is vbird's samba server 
net.qiang(Ohotmail.com 

Workgroup Master 

VBIRDHOUSE VBIRDSERVER 


这 里 可 以 知道 在 目前 网 域 当中 有 多 少 个 工作 组 与 主要 的 名 称 解析 主 
J 


除了 这 个 先前 用 过 的 查询 功能 之 外 ， 我 们 可 以 这 样 简 易 使 用 网 芳 的 : 
# 2. 利用 类 似 FTP 的 方式 登入 远程 主机 


[root@clientlinux ~]# smbclient VW/[IPlhostname]/ 资 源 名 称 ' [-U 





username|] 


意思 是 使 用 东 个 账号 来 直接 登入 茶 部 主机 的 某 个 分 享 资源 ， 举 例如 





# 
下 : 


[root@clientlinux ~]# smbclient //192.168.100.254/smb1' -U smb1 
Enter smb1's password: 

Domain=[VBIRDHOUSE] OS=[Unix] Server=[Samba 3.5.4-68.el6_0.2] 
smb: \> dir 

# 在 smb: \> 底下 其 实 就 是 在 /192.168.100.254/dmtsai 这 个 目录 底下 
啦 ! 所 以 ， 

# 我 们 可 以 使 用 dir, get, put 等 常用 的 ftp 指令 来 进行 数据 传输 了 ! 

? : 列 出 所 有 可 以 用 的 指令 ， 和 常用 ! 

cd :变换 到 远程 主机 的 目录 

del : 杀 掉 某 个 档案 

lcd :变换 本 机 端的 目录 

ls :察看 目前 所 在 目录 的 档案 

dir :与 ls 相同 

get :下 载 单一 档案 

mget: 下 载 大 量 档案 

mput: 上 传 大 量 档案 

put :上 传单 一 档案 

rm :删除 档案 

exit: 离 开 smbclient 的 软件 功能 


# 其 他 的 指令 用 法 请 参考 man smbclient 喔 ! 


mount.cifs: 直接 挂 载 网 芳 成 为 网 络 驱动 右 机 


， 使 用 smbclient 一 点 也 不 方便 ， 因 为 使 用 的 是 ftp 的 功能 语法 ， 


怪 的 一 能 不 能 像 Windows 那样 ， 可 以 直接 联机 网 络 驱 动 器 机 啊 ? 这 当 
然 没 有 问题 ! 不 


过 就 需要 糙 由 mount.cifs 来 协助 了 ! 


早期 的 Samba 主要 是 提供 smbmount 或 mount.smbfs 这 个 指令 来 挂 载 
(Smbfs 


是 SMB filesystem 的 缩写 )， 不 过 这 个 指令 已 经 被 可 以 进行 比较 好 的 编 
码 判 断 的 
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mount.cifs 所 取代 啦 ! mount.cifs 可 以 将 远程 服务 器 分 享 出 来 的 目录 整个 
给 他 挂 载 到 


本 机 的 挂 载 太 ， 如 此 一 来 ， ”远程 服务 器 的 目录 束 好 像 在 我 们 本 机 的 一 


个 分 割 槽 一 样 喔 ! 


可 以 直接 执行 复制 、 编 辑 等 动作 ! 这 可 就 好 用 的 多 了 ! ”底下 我 们 来 谈 


一 谈 怎么 用 这 个 





mount.cifs 吧 ! 

[root@clientlinux ~]# mount -t cifs /LIP/ 分 享 资源 / 挂 载 点 [-o options] 
选项 与 参数 : 

-0 后 面 接 的 参数 (options) 常用 的 有 底下 这 些 : 


username= 你 的 登入 账号 :例如 usermame=smb1 





password= 你 的 登入 密码 : 需要 与 上 面 username 相对 应 啊 ! 
iocharset= 本 机 的 语系 编码 方式 ， 如 big5 或 utf8 等 等 ; 
codepage= 远 程 主机 的 语系 编码 方式 ， 例 如 繁体 中 文 为 cp950 

# 范例 一 : 以 smb1 的 身份 将 其 家 目录 挂 载 全 /mnt/samba 中 
[root(Oclientlinux ~]# mkdir /mnt/samba 

[root@clientlinux ~]# mount -t cifs //192.168.100.254/smb1 /mnt/samba 
\ 

> -0 username=smb1,password=4321,codepage=cp950 
[root@clientlinux ~]# df 

文件 系统 1K- 区 段 已 用 可 用 己 用 % 挂 载 点 


//192.168.100.254/smb1/ 





7104632 143368 6606784 3% /mnt/samba 


经 由 mount 的 动作 ， 我 们 就 可 以 轻易 的 将 远程 分 享 出 来 的 吧 吃 给 他 挂 载 
到 自己 Linux 


本 机 上 和 面 ! 好 用 的 很 一 更 详细 的 mount 用 法 ， 请 man mount! 


nmblookup: 查询 NetBIOS name 与 IP 及 其 他 相关 信息 : 


现在 我 们 可 以 透 过 一 些 NetBIOS 相关 的 功能 来 取得 NetBIOS name ， 不 
过 ， 如 果 


你 还 想 要 知道 这 个 NetBIOS name 的 其 他 信息 时 ， 例如 IP、 分 享 的 资源 
等 等 ， 那 可 以 


使 用 nmblookup 这 个 指令 来 搞定 即 可 。 他 是 这 么 使 用 的 : 
[root@clientlinux ~]# nmblookup [-S] [-U wins IP] [-A IP] name 

选项 与 参数 : 

-S : 除了 查询 name 的 IP 之 外 ， 亦 会 找 出 该 主机 的 分 享 资源 与 MAC 





-U : 后 面 一 般 可 接 Windows 的 主要 名 称 管 理 服务 器 的 卫 ， 可 与 -R 互 
用 ; 


-R: 与 -U 互 用 ， 以 Wins 服务 絮 来 但 询 某 个 Netbios name:; 

-A : 

相对 于 其 他 的 参数 ， -A 后 面 可 接 IP， 

夭 卫 来 找 出 相对 的 NetBIOS 数 

据 ; 
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# 范例 一 : 和 厌 由 192.168.100.254 找 出 vbirdserver 这 部 主机 的 IP 地 址 
[root@clientlinux ~]# nmblookup -U 192.168.100.254 vbirdserver 
querying vbirdserver on 192.168.100.254 

192.168.100.254 vbirdserver<00> 

192.168.1.100 vbirdserver<00> <== 之 前 鸟 哥 就 说 有 两 个 IP 嘛 ! 俺 的 主 
机 ! 

# 范例 二 : 找 出 vbirdserver 的 MAC 与 IP 等 信息 


[root@clientlinux ~]# nmblookup -S vbirdserver 


querying vbirdserver on 192.168.100.255 <== 在 区 网 内 广播 开始 找 ! 
192.168.100.254 vbirdserver<00> <== 找 到 IP 哎 ! 
Looking up status of 192.168.100.254 
VBIRDSERVER <00> - B <ACTIVE> 
_ MSBROWSE__. <01> - <GROUP> B <ACTIVE> 


VBIRDHOUSE <00> - <GROUP> B <ACTIVE> 


smbtree: 网 络 上 的 芳 邻 浏览 器 显示 模式 ! 


如 果 你 想 要 使 用 类 似 Windows 上 和 面 ， 可 以 一 看 就 明了 各 个 网 方 所 分 至 
的 资源 时 ， 


你 能 使 用 smbtree 来 直接 查询 喔 ! 这 个 指令 更 简单 ! 直接 输入 就 能 
[root@clientlinux ~]# smbtree [-bDS] 
选项 与 参数 : 
-b : 以 广播 的 方式 取代 主要 浏览 器 的 查询 
: 仅 列 出 工作 组 ， 不 包括 分 享 的 资源 





-9 : 

列 出 工作 组 与 该 工作 组 下 的 计算 机 名 称 (NetBIOS) 不 包括 各 项 资源 目录 
# 范例 一 : 列 出 目前 的 网 芳 树 状 相关 图 

[root@clientlinux ~]# smbtree 

Enter root's password: <== 直 接 按 [Enter] 即 可 ! 


WORKGROUP 


NWIN7-PC 

VBIRDHOUSE 

NWINXP 

cli_start_connection: failed to connect to WINXP<20> (0.0.0.0). 
NVBIRDSERVER This is vbird's samba server 
NVBIRDSERVERAHP_LaserJet _P2015_9eries HP LaserJet 
P2015 Series 

\VBIRDSERVER\IPCS$ IPC Service (This is vbird's 

samba server) 

\VBIRDSERVER\print$ Printer drivers 
net.giang(@@hotmail.com 

\VBIRDSERVER\project smbuser's project 
[root@clientlinux ~]# Smbtree -S$ 

Enter root's password: 

WORKGROUP 

NWIN7-PC 

VBIRDHOUSE 

NWINXP 

NVBIRDSERVER This is vbird's samba server 


# 此 时 仅 有 工作 组 与 计算 机 名 称 而 已 呢 ! 


smbstatus: 观察 SAMBA 的 状态 


其 实 这 个 指令 算是 服务 器 的 相关 功能 啦 ! 因为 它 主 要 的 目的 是 查阅 目前 
SAMBA 有 


多 少 人 来 联机 ， ”和 且 哪些 资源 共享 已 经 被 使 用 等 等 的 信息 。 所 以 如 果 你 
想 要 使 用 这 个 软 


件 ， 请 先 安 装 samba 喔 ! 简单 用 法 如 下 : 








[root@www ~]# smbstatus [-pS] [-u username] 
选项 与 参数 : 

-p : 列 出 已 经 使 用 SAMBA 联机 的 程序 PID ; 
-S : 列 出 已 经 被 使 用 的 资源 共享 状态 ; 

-u : 只 列 出 某 个 用 户 相 关 的 分 至 数据 

# 范例 一 : 列 出 目前 主机 完整 的 Samba 状态 
[root@www ~]# smbstatus 

Samba version 3.5.4-68.el6_0.2 

PID Username Group Machine 

5993 Smb1 Smb1 _ ffff_192.168.100.10 
(::ffff:192.168.100.10) 

5930 smb1] Smb1 win7-pc 


(::ffff:192.168.100.30) 


# 上 半 部 主要 在 列 出 目前 联机 的 状态 中 ， 

主要 来 自 那 个 客户 端 机 器 与 登入 的 用 

户 名 

Service pid machine Connected at 

IPC$ 5930 win7-pc Fri Jul 29 15:56:03 2011 

project 5930 win7-pc Fri Jul 29 15:59:25 2011 

smb1 5993 ffff 192.168.100.10 Fri Jul 29 16:32:45 2011 


# ”这 部 分 则 显示 出 ， 目 前 有 几 个 目录 被 使 用 了 ? 那个 smb1l ”代表 
/IP/smb1/ 
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各 

喔 ! 

你 可 以 透 过 这 个 小 程序 来 了 解 到 目前 有 多 少 人 使 用 你 的 SAMBA 的 啦 ! 
16.4 以 PDC 服务 器 提供 账号 管 二 


I 和 于 16.1.5 约略 谈 过 PDC 这 个 玩意 儿 ， 他 可 以 让 用 户 在 计算 机 教室 
王 何 一 


个 地 方 ， 都 用 同一 组 账号 密码 登入 ， ”并 可 取得 相同 的 家 目录 等 数据 ， 
这 与 我 们 之 前 谈 


到 的 ， 在 Linux 底下 使 用 NIS 搭配 NFS 是 很 类 似 的 作法 ! 只 是 它 是 用 
在 Windows 上 


头 束 是 了 。 那 如 何 完成 呢 ? 我 们 底下 吏 来 谈 谈 这 个 玩意 儿 ! 入 和 
16.4.1 让 Samba 管理 网 域 使 用 者 的 一 个 实 作案 例 
前 面 介绍 的 内 容 都 是 属于 PeervPeer 的 联机 状况 ， 也 就 是 Samba 服务 器 


Windows 客户 问 其 实 是 平等 地 位 的 啦 ! 所 以 Windows 客户 端 需要 知道 
Samba 服务 器 


内 的 账号 密码 数据 后 ， 才 能 够 顺利 的 使 用 Samba 的 资源 。 不 过 ， 这 样 
的 方式 在 较 大 型 


一 些 的 局 域 网 络 环 境 可 能 束 会 有 扩 困 扰 ， 例 如 学 校 的 环境 。 


举例 来 说 ， 如 果 你 有 一 个 计算 机 教室 里 面 有 50 部 Windows XP pro. 的 
个 人 计算 


机 ， 由 于 计算 机 教室 大 家 都 会 使 用 ， 因此 里 面 这 50 部 个 人 计算 机 有 使 


也 就 是 每 次 计算 机 重新 局 动 后 整个 操作 系统 就 会 还 原 成 原本 的 样子 。 
但 我 们 知道 使 用 


者 总 是 需要 有 个 人 家 目录 吧 ? 他 们 总 不 希望 这 次 的 工作 在 重新 启动 后 就 
去 了 上 扩 蛤 


我 们 可 以 利用 一 部 主机 来 让 他 们 储存 数据 啊 ! 那 就 是 _ Primary Domain 
Controller (PDC) 


服务 器 。 


其 实 Samba PDC 的 作用 很 简单 ， 就 是 让 Samba PDC 成 为 整个 局 域 网 络 
的 领域 管理 


员 (domain controller)， 然后 让 Windows 主机 加 入 这 个 领域 ， 未 来 使 用 
者 利用 


Windows 登入 时 ，(1)Windows 会 前 往 PDC 服务 器 取得 用 户 的 账号 密 














人 码 ， 同时 (2)PDC 


还 会 传送 用 户 的 重要 数据 到 那 部 Windows 个 人 计算 机 上 ， 而 Windows 
计算 机 上 的 用 户 


注销 时 ， (3) 该 用 户 修 改过 的 数据 也 会 回 传 给 PDC 。 如 此 一 来 不 管 这 个 
使 用 者 在 哪 一 


部 个 人 计算 机 上 面 登 入 ， ”他 都 能 够 取得 正确 的 个 人 资料 ! 很 棒 的 作用 
吧 ! 


PDC 是 个 很 复杂 的 环境 ， 他 可 以 达到 的 功能 相当 的 多 ， 而 且 密码 的 验证 
也 不 必 在 同 


一 部 PDC 主机 上 面 ， 不 过 这 里 我 们 不 谈 那 么 复杂 的 东西 ， 只 是 做 一 个 
简单 的 练习 ， 


此 底下 的 这 部 PDC 使 用 Linux 自己 的 密码 来 进行 验证 ， 并 且 也 只 管理 
自己 所 分 侠 出 


去 的 资源 吃 ! 至 于 假设 网 络 环 境 与 相关 工作 组 参数 如 下 : 
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PDC 的 主要 和 内容 : 


1. domain: vbirdhouse 


~ 2. servername: vbirdserver 
2 3, 信任 主机 : vbirdwinxp5 vbirdwin7S … 
ss 4. 信任 使 用 者 : root dmtsai nikky … 


Domain: vbirdhose 


User: 本 机 和 由 domain 5. 至 少 所 需要 分 享 袜 源 : 


netlogon, profile, 使 用 者 家 目录 


vbirdwin7 vbirdwinxp 


0 


图 16.4-1、 一 个 简易 的 PDC 实 作案 例 相 关 参 数 示 意图 


整个 基本 的 设 定 流 程 应 该 是 这 样 的 : 


区 网 计算 机 环境 设 定 : 整体 网 域 设 定 好 ， 尤 其 Windows 的 工作 组 与 
计算 机 


名 称 及 IP 等 参数 ; 
PDC 设 定 : 因为 PDC 管理 自己 的 密码 ， 所 以 security = user; 
PDC 最 好 拥有 整个 网 域 的 名 称 解 析 权 力 ， 亦 即 成 为 主要 的 名 称 解 析 
ENE 


需 有 netlogon 资源 共享 ， 提 供 windows 2000/XP pro. 客户 端的 登入 之 


由 于 Windows 需 读 入 个 人 配置 文件 ， 默 认 目 录 为 profile，Linux 系统 
PB 


需 
预先 设 定 此 目录 ; 
增加 PDC 上 的 使 用 者 账号 以 及 机 器 代码 (machine account) 等 等 
在 Windows 2000/XP pro. 个 人 计算 机 上 设 定 成 为 PDC 的 客户 端 。 
底下 咀 们 就 来 依 序 处 理 处 理 先 ! 
16.4.2 PDC 服务 器 的 建 置 


PDC 服务 句 的 建立 非常 的 抹 烦 ， 需 要 一 步 一 步 的 实 作 进行 ， 手 讨 大 的 。 
而 且 ， 由 于 


建 置 PDC 的 环境 主要 在 管理 整个 区 网 内 的 Windows 计算 机 ， 因 此 每 部 
Windows 计算 


机 的 主机 名 与 相关 参数 要 先 确定 下 来 ， 如 同上 一 小 节 的 图 示 内 ， ”每 部 
计算 机 的 角色 定 

位 都 需要 清楚 才 行 。 清 楚 了 各 个 计算 机 的 角色 后 ， 接 下 来 就 能 够 慢 慢 的 
实 作 进 行 哆 ! 











1. 建 置 NetBIOS 与 IP 对 应 的 数据 : 设 定 Imhosts 与 /etc/hosts 


由 于 我 们 的 Samba 即将 成 为 整个 网 域 的 名 称 解析 者 ， 因 此 你 最 好 将 束 
个 网 域 的 


NetBIOS name 与 IP 的 对 应 写 入 lmhosts 档案 当中 。 如 果 你 的 区 网 是 以 
DHCP 发 放 
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IP 的 ， 那 么 你 最 好 搭配 DNS 系统 去 建 置 你 的 主机 名 对 应 信息 ， 否则 主 
机 名 对 应 不 起 


来 ， 总 是 有 点 困扰 。 在 这 个 案例 中 ， 由 于 鸟 哥 使 用 的 NetBIOS name (如 


vbirdserver) 


与 主机 名 (如 ” www.centos.vbird) ”并 不 相同 ， 因 此 这 里 建议 需要 修改 
lImhosts 才 好 。 











[root@www ~]# vim /etc/samba/lmhosts 





127.0.0.1 localhost <== 这 行 是 预 设 存 在 的 ， 不 要 动 他 ， 底 下 的 
请 目 行 新 增 

192.168.100.254 vbirdserver 

192.168.100.10 vbirdlinux 

192.168.100.20 vbirdwinxp 

192.168.100.30 vbirdwin7 

[root@www ~]# vim /etc/hosts 


192.168.100.254 www.centos.vbird vbirdserver 


192.168.100.10 clientlinux.centos.vbird vbirdlinux 
192.168.100.20 vbirdwinxp 
192.168.100.30 vbirdwin7 


由 于 Linux 上 的 Samba 很 多 数据 还 是 与 TCP/IP 的 主机 名 有 关 ， 所 以 除 
了 lmhosts 


之 外 ， 建 议 还 是 处 理 一 下 /etc/hosts 比较 妥当 ! 这 样 就 行 啦 ! 


2. 建 置 PDC 主 设 定 : 处 理 smb.conf 


假设 我 们 要 让 PDC 客户 端 登入 时 可 以 取得 他 自己 的 家 目录 ， 那 么 需要 
这 样 处 理 : 


[root@www ~]# vim /etc/samba/smb.conf 

[globalj 

workgroup = vbirdhouse <== 请 务必 确认 一 下 工作 组 与 主 
机 名 

netbios name = vbirdserver 

server string = This is vbird's samba server 

unix charset = utf8 

display charset = utf8 

dos charset = cp950 

log file = /var/log/samba/log.%m 


max log size = 50 


security = user 

passdb backend = tdbsam 

load printers = yes 

cups options = raw 
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printcap name = cups 

printing = cups 

# 与 PDC 有 关 的 一 些 设 定 值 : 

# 底下 几 个 设 定 值 处 理 成 为 本 局 域 网 络 内 的 主要 名 称 解 析 器 
preferred master = yes 

domain master = yes 

local master = yes 

wins support = yes 

# 操作 系统 (OS) 等 级 越 高 才能 成 为 主 网 域 的 控制 者 ， 一 般 NT 为 


32， 











# Windows 2000 为 64 ， 所 以 这 里 我 们 设 定 高 一 点 ， 但 不 可 超过 255 
os level = 100 

# 底下 则 是 设 定 能 否 利用 PDC 登入 ， 且 登入 需要 进行 哪些 动作 : 
domain logons = yes 


logon drive = K: <== 登 入 后 家 目录 挂 载 成 


Windows 哪 一 权 

logon script = startup.bat <== 每 个 使 用 者 登入 后 会 自动 执 

行 的 程序 

time server = yes <== 上 自动 调整 Windows 时 间 与 

Samba 同步 

admin users = root <== 预 设 的 管理 员 账 号 ! 预 设 为 

root 

logon path = \%N\%U\profile <== 使 用 者 的 个 人 化 设 定 

logon home = \%N\%U <== 用 户 的 家 目录 位 置 ! 

# 这 个 在 指定 登入 者 能 够 进行 的 工作 ， 里 面 主要 是 具有 许多 执行 程序 : 
[netlogon] <== 与 前 面 的 logon script 有 关 ， 该 程序 放置 在 这 里 














comment = Network Logon Service 





path = /winhome/netlogon <== 重 要 的 目录 ， 要 自己 建立 才 
行 ! 

writable = no 

write list = root 

follow symlinks = yes 


guest ok = yes 


[homes| 


…( 压 下 保留 原本 设 定 ).… 


[root@www ~|]# testparm 

[root@www ~]# /etc/init.d/smb restart 
[root@www ~]# /etc/init.d/nmb restart 
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上 面 的 设 定 有 几 个 地 方 比 较 有 趣 一 点 : 


time server: 要 使 Samba 与 Windows 主机 的 时 间 同 步 ， 使 用 这 个 项 
目 ; 


logon script: 当 使 用 者 以 Windows 客户 端 登入 后 ，Samba 可 以 提供 一 
批 处 理 文件 ， 让 使 用 者 去 设 定好 他 们 自己 的 目录 配置 。 整 个 配置 的 内 容 
记录 在 


startup.bat 当中 。 你 要 注意 的 是 ， 这 个 startup.bat 档 名 可 以 随意 更 改 ， 


、 











过 他 必须 要 放置 到 [netlogon] 所 指定 的 目录 内 ; 

logon drive: 那么 这 个 家 目录 要 挂 载 到 那个 分 割 槽 ? 在 Windows 弃 
多 以 C, D, E... 做 为 磁盘 的 代号 ， 你 这 里 可 以 指定 一 下 家 目录 要 放置 成 
为 那个 
倒 盘 代号 ; 

admin users: 指定 这 个 Samba PDC 的 管理 员 身 份 。 

[netlogon]: 指定 利用 网 络 登录 时 首先 去 查询 的 目录 资源 。 


logon path: 用 户 登 入 后 ， 会 取得 的 环境 设 定数 据 在 哪 ? 我 们 知道 用 
户 会 





a 例如 加 面 等 ， 这 些 东 西 都 放置 到 这 里 来 。 使 用 的 变量 
， %N 代 


表 PDC 服务 器 的 位 置 ， %U 则 代表 用 户 的 Linux 家 目录 。 因 此 最 终 你 
得 要 有 





~someone/profile 的 目录 才 可 以 。 
logon home: 用 户 的 家 目录 ， 默 认 与 Linux 的 家 目录 相同 位 置 。 


3. 建立 Windows 客户 端 登 入 时 所 需 的 设 定 数据 netlogon 目录 


先 来 建立 [netlogon] 内 所 需要 的 数据 好 了 ， 那 就 是 一 个 日 录 。 由 于 鸟 哥 
预计 将 所 


有 的 PDC 数据 通通 放置 到 /winhome 当中 ， 包 括 用 户 家 目录 ， 因 此 很 多 
东西 都 需要 修 


订 喔 ! 包括 后 来 的 SELinux 肯定 会 出 问题 的 一 





[root@www ~I# mkdir -p /winhome/netlogon 


接 下 来 我 们 还 得 要 建立 允许 使 用 者 执行 的 档案 ， 就 是 那个 startup.bat 才 
行 注 启 


下 ， 我 们 这 里 假设 用 户 家 目录 为 K 槽 ， 那 你 可 以 这 样 做 : 
[root@www ~]# vim /winhome/netlogon/startup.bat 

net time \\vbirdserver /set /yes 

net use K: /home 

# 这 个 档案 的 格式 为 : net use [device:] [directory] 


再 将 该 档案 转 成 DOS 的 断 行 格式 才 行 ! 因为 是 提供 给 Windows 系统 
啊 ‘ ! 


[root@www ~]# yum install unix2dos 

[root@www ~1# unix2dos /winhome/netlogon/startup.bat 
[root@www ~]# cat -A /winhome/netlogon/startup.bat 
net time \\vbirdserver /set /yes^M$ 

net use K: /home^M$ 
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# 瞧见 吗 ? 会 多 出 个 奇怪 的 AM 符号 ， 那 吏 是 Windows 断 行 字符 。 


4. 建立 Windows 专用 的 使 用 者 


因为 鸟 哥 预计 将 使 用 者 全 部 挪 到 /winhome 底下 ， 而 且 每 个 用 户 家 目录 
应 该 还 要 有 


Da 为 了 避免 厂 烦 ， 所 以 我 们 先 到 /etc/skel 去 处 理 一 
下 ， 然 后 


才 建 立 账 号 ， 最 后 才 产 生 samba 用 户 吧 ! 产生 samba 用 户 可 以 使 用 
pdbedit 也 能 够 


直接 使 用 smbpasswd -a ， 因 为 没有 要 用 特殊 的 参数 ， 所 以 ，Samba 用 
户 束 用 旧 的 


smbpasswd 来 处 理 即 可 。 








[root@www ~]# mkdir /etc/skel/profile 
[root@www ~]# useradd -d /winhome/dmtsai dmtsai 
[root@www ~]# useradd -d /winhome/nikky nikky 


[root@www ~]# smbpasswd -a root 


[root@www ~]# smbpasswd -a dmtsai 
[root@www ~]# smbpasswd -a nikky 
[root@www ~]# pdbedit -L 
smb1:2004: 

smb3:2006;: 

smb2:2005: 

student:505: 

root:0:root 

dmtsai:2007: 

nikky:2008: 

# 重点 是 需要 有 画 底 线 的 那 几 个 人 物 出 现 才 行 吻 ! 





[root@www ~]# 1 /winhome 

drwx------ .5 dmtsai dmtsai 4096 Jul 29 16:49 dmtsai 

drwxr-xr-x. 2 root root 4096 Jul 29 16:48 netlogon 

drwx------ .DDikky nikky 4096 Jul 29 16:49 nikky 

# 用户 的 家 目录 不 是 在 /home 而 是 在 /winhome 里 头 才 是 对 的 哟 ! 


那 以 后 新 增 的 使 用 者 都 有 可 以 存放 来 自 Windows 的 特殊 配置 文件 目录 
喔 ! 比较 好 管理 


哆 一 当然 啦 ， 使 用 useradd 新 增 使 用 者 后 ， 记 得 也 要 使 用 smbpasswd -a 


Username 来 


让 该 使 用 者 可 以 使 用 Samba 喔 ! 











net.qiang(DOhotmail.com 
必 
5. 建立 机 器 码 账 扎 


由 于 PDC 会 针对 Windows 客户 端的 主机 名 (NetBIOS name) 进行 主机 账 
号 检查 ， 


所 以 我 们 也 要 为 客户 端的 主机 名 进行 账 扎 的 设 定 。 旺 ! 喻 是 主机 账号 ? 
一 般 用 户 账 号 


是 瑞 文 或 数字 ， 主 机 账号 则 在 该 账号 最 后 面 加 上 一 个 钱 字 号 『$」 即 
可 ! 举例 来 说 ， 


vbirdwinxp 这 部 主机 可 设 定 的 账号 名 称 为 vbirdwinxp$。 


而 我 们 知道 要 使 用 smbpasswd 增加 的 使 用 者 必须 要 在 /etc/passwd 当 
中 ， 因 此 要 


建立 这 个 账号 你 就 得 要 这 样 做 : 





[root@www ~]# useradd -M -s /sbin/nologin -d /devnull vbirdwinxp$ 
[root@www ~]# useradd -M -s /sbin/nologin -d /dev/null vbirdwin7$ 


会 增加 -M -s -d 等 参数 的 原因 是 因为 不 想 要 让 这 个 账号 具有 可 以 登入 的 
权限 ， 因 此 


将 这 个 主机 账号 设 定 的 比较 怪 一 点 一 人 人 一 接 下 来 让 Samba 知道 这 个 账 
号 是 主机 账号 ， 


所 以 你 应 该 要 这 样 做 : 





[root@www ~]# smbpasswd -a -m vbirdwinxp$ 


[root@www ~]# smbpasswd -a -m vbirdwin7$ 


这 样 便 加 入 主机 账号 嘿 ! 而 我 们 的 Samba PDC 也 就 可 以 透 过 『 主 机 账 
号 」 来 判断 


Windows 客户 端 能 否 连 上 来 ， 知 连 接 上 PDC 与 Windows 客户 端 后 ， 接 
下 来 一 般 使 用 


者 账号 就 可 以 在 windows 客户 端 登入 了 ! 


6. 修改 安全 性 相关 数据 


由 于 我 们 建立 的 账号 目录 在 /winhome 底下 ， 并 非 正规 的 CentOS 目录 ， 
所 以 最 重 


要 的 SELinux 可 能 会 跑 掉 一 所 以 ， 我 们 还 得 要 修订 SELinux 才 行 ! 方 
法 很 简单 ， 将 


SELinux type 转 为 samba_share _t 即 可 ! 
[root@www ~]# chcon -R -t samba_share_t /winhome 


I 人 的 数据 是 会 继承 上 层 目录 的 ， 因 此 未 来 新 增 的 用 户 ， 理 论 
二 5 机 


重新 修订 SELinux 的 文件 类 型 了 。 但 是 ， 如 果 你 老 是 发 现 登 入 PDC 的 
账号 却 无 法 取 


得 家 目录 ， 那 么 就 观察 /var/log/messages 内 的 资料 来 修订 吧 ! 


16.4.3 Wimdows XP pro. 的 客户 端 
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系统 内 容 1? 
| 一 般 “| 电 及 名 生硬 欠 ”| 进 障 | 系统 渤 原 | 自动 更 新 | 速 端 | 
可 Windows 使 用 下 列 资 讯 在 多 路 上 激 别 您 的 生 脑 











重 腹 描述 D) 
例如 : " 容 磨 的 生 腾 "或 "大 明 的 生 脑 " 。 


完整 生 脑 名 条 vbiiving，、 |‖ < 一 -一 1 
工作 群 组 : YBIRDHOUSE 


如 果 您 要 使 用 移 跑 识别 靖 权 来 加 入 筒 域 让 建立 本 楼 二 
使 用 者 帐户 ， 请 授 [ 扯 路 激 别 ]。 人 





如 果 您 要 重新 命名 过 部 和 电脑 或 将 它 加 入 ; 请 按 


里 志 ]。 
4 

















套用 他 
请 注意 ， 底 下 的 方法 仅 适 用 于 Windows 2000，Windows XP 专业 版 
(Pro.)， 一 般 


的 Windows XP home 版 本 是 不 支持 的 ! 如 果 你 客户 端的 主机 是 随机 版 
的 Windows XP ， 


通常 是 Windows XP home ， 那 底下 的 方法 可 能 就 无 法 适用 嗓 ! 要 连接 
上 Samba PDC 的 


过 程 也 是 挺 简单 的 ， 你 可 以 这 样 做 : (至 于 Windows 7 对 于 Samba 的 版 
本 要 求 较 高 ， 


官方 网 站 是 说 得 高 于 3.3.x 以 上 版 本 才 有 支持 ) 





1. 确认 windows 客户 端的 网 域 与 主机 名 


首先 我 们 必须 要 确认  ” Windows ”客户 端的 工作 组 与 主机 名 跟 咱 们 的 
Samba PDC 相 


同 ， 确认 的 方式 在 局 域 网 络 里 面 已 经 提 过 了 ， 这 里 在 强调 一 次 。 将 妃 
标 移动 到 『 我 的 


计算 机 」 上 面 ， 按 下 右键 ， 选择 『 内 容 」， 然 后 点 选 『 计 算 机 名 
称 」】， 会 出 现 如 下 图 





示 : 
图 16.4-2、Windows 客户 端 连 上 PDC 的 方式 流程 示意 图 


如 上 图 所 示 ， 你 要 先 确认 箭头 1 处 指 的 主机 名 与 工作 组 ， 在 我 们 这 个 案 
例 当中 的 


工作 组 为 vbirdhouse， 这 部 Windows 主机 的 NetBIOS 名 称 则 为 
vbirdwinxp 喔 ! 如 


条 不 对 的 话 ， 请 按 下 『 变 更 」 来 设 定 ，“ 并且 重新 局 动 。 重 新 局 动 完毕 
后 再 到 上 图 的 画 


面 当中 ， 按 下 箭头 2 所 指 的 网 络 识别 处 。 
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使 用 者 帐户 和 手 域 彰 录 
使 用 者 帐户 可 以 恋 您 存 取 秽 路 上 的 档案 和 实 源 * 


翰 入 你 的 Windows 使 用 者 帐户 和 移 域 音讯 如 果 沾 知道 此 实 讯 ， 请 洽 询 您 的 机 
路 系统 管理 员 


使 用 者 名 称 亿 :root 填 入 smb.conf 的 admuser 
密码 辐 ): | | 














鲍 域 四 ): |YBIRDHOUSE| 填 入 Samba 工 作 群 组 | 





R 


< 上 一 步 回 取 浓 





2. 设 定 主机 名 与 域名 


接 下 来 我 们 要 设 定 这 部 Windows XP pro， 要 链接 到 局 域 网 络 上 的 哪 部 
PDC 上 面 ， 


亦 即 是 处 理 主机 账号 以 及 Samba PDC 负责 的 网 域 (domain) 啦 ! 在 图 
16.4-2 按 下 『 网 


络 识别 ] 后 ， 分 别 在 出 现 的 窗口 当中 选择 : 
1. 下 一 步 ; 


人 
儿 


(TD) 
3. 我 的 公司 使 用 一 或 多 个 网 域 的 网 络 (C) 


4. 下 一 
然后 就 会 出 现 如 下 的 窗口 : 
图 16.4-3、Windows 客户 端 连 上 PDC 的 方式 流程 示意 图 


请 依 序 填写 Samba 主机 上 面 的 管理 员 账 号 与 密码 ， 要 注意 这 个 密码 是 
记录 于 

Samba 中 的 那个 ， 可 不 是 /etc/shadow 喔 ! 别 搞 混 了 一 这 是 Samba 服务 
器 的 设 定 呢 。 


输入 之 后 按 下 一 步 吧 ， 通 常 都 会 出 现 找 不 到 正确 主机 的 画面 ， 如 下 所 
A\: 
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揣 路 蓄 别 靖 示 


路 三 域 
您 的 电脑 也 必须 届 论 某 一 个 移 域 > 


Winlows 在 YBIRDHOUSE 找 直到 您 量 胸 的 帐户 < 
请 输入 您 的 电脑 名 冰 和 所 属 筒 域 * (可 能 和 您 登入 的 绚 域 不 是 同一 个 ) * 





重 腾 名 称 (O): (YBIRDWINEP 此 电脑 的 NetBIUs name 





重 腹 桐 域 D@): |YBIRDHOUSE| 等待 加 入 的 Samba 姗 域 





< 上 一 步 吕 ) 取消 





氟 域 使 用 者 名 痢 和 密 三 
| 请 输入 可 加 入 攀 域 的 帐户 名 称 及 密码 。 
使 用 者 名 关 0): [oot 





密码 时): E22 
宰 域 D): (YBIRDHOUSE| 











图 16.4-4、Windows 客户 端 连 上 PDC 的 方式 流程 示意 图 


乌 哥 也 党 得 很 奇怪 ， 老 是 告诉 我 找 不 到 ! 不 过 没有 关系 ， 这 里 我 们 依旧 
再 填 一 次 主 


机 的 NetBIOS name 以 及 组 名 ， 如 上 图 所 示 ， 然 后 继续 按 下 一 步 ， 就 会 
出 现 如 下 的 画 


面 啦 :; 
图 16.4-5、Windows 客户 端 连 上 PDC 的 方式 流程 示意 图 


这 次 就 给 他 输入 正确 的 管理 员 账 号 与 密码 ， 记 得 最 后 面 的 网 域 就 是 工作 
组 名 称 ， 别 


写 错 了 。 处 理 完 毕 后 给 他 按 下 确定 吧 ! 然后 就 会 出 现 如 下 画面 : 
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用 者 帐户 
您 可 以 新 增 使 用 者 到 此 生 脑 * 


将 使 用 者 加 到 过 台电 脑 ' 该 使 用 者 就 可 以 使 用 此 生 脑 所 有 的 资源 以 及 网 路 上 所 
有 共用 的 宜 源 * 


请 输入 您 的 襟 路 使 用 者 帐户 前 讯 ， 或 者 二 入 阐 路 上 其 他 使 用 者 的 帐户 宜 讯 * 





〇 新 增 下 列 使 用 者 翁 ): 


使 用 者 名 称 倍 ) root 











使 用 者 箱 域 号 ) TEBIRDHOUSE 














下 - 步 叫 > 


鸡 迎 使 用 页 indows 


Copyright® 1985-2001 
Microsoft Corporation 


二 > | 戎 按 ctl-altDel 开 始 。 


各 番 时 人 ty E 
识 [ 襄 明 ] 了 解 详 萝 次 讯 > 





图 16.4-6、Windows 客户 端 连 上 PDC 的 方式 流程 示意 图 


恭喜 你 ， 这 就 表示 已 经 连接 上 Samba PDC 吕 ! 我 们 希望 所 有 的 使 用 者 
都 直接 由 


PDC 控 管 ， 所 以 这 里 请 填写 『 此 时 不 新 增 使 用 者 」 吧 ! 按 下 一 





3. 重新 启动 并 以 新 的 域名 登入 
在 图 16.4-6 之 后 请 重新 启动 ， 开 机 后 整个 画面 会 有 点 类 似 这 样 : 
图 16.4-7、Windows 客户 端 连 上 PDC 的 方式 流程 示意 图 


ee 因此 得 要 按 下 [ctrl]+[alt]j+[del] 三 个 组 合 按键 后 ， 
ZN 


出 现 如 下 的 登入 画面 : 
net.qiang@hotmail.com 


登 人 页 indows 


Copyright © 1985-2001 
Microsoft Corporation 





使 用 者 名 簿 占 ): 
密码 全 ): 
登 人 到 苞 ): YBIRDHOUSE 


YEIRDHOUSE 
YBIRDWINXP (此 电极 

















训 济 讲 


峰 蔬 四 阔 吗 醚 了 
葬 强 雪 阅 料 讨 


剩 鲜 时 间 : 18 





图 16.4-8、Windows 客户 端 连 上 PDC 的 方式 流程 示意 图 





上 前 系统 上 面 就 会 有 两 个 可 选择 的 账号 管理 模式 ， 一 个 是 本 机 账号 一 个 
是 PDC 提 


供 的 账号 ， 那 我 怎 知 登入 者 是 哪个 管理 模式 ? 所 以 你 就 得 要 按 下 上 述 
画面 的 『 选 项 」 ， 


才 会 出 现 『 登 入 到 】」 的 那 一 行 数据 。 出 现 的 两 个 数据 分 别 是 : 


VBIRDWINXP( 此 计算 机 ): 这 就 是 你 的 计算 机 名 称 ， 亦 即 是 以 本 机 账 
号 2 

VBIRDHOUSE: 就 是 PDC 的 workgroup 项 目 ， 透 过 PDC 的 账号 来 
党 斌 登入 5 
现在 请 输入 你 在 Samba PDC 上 面 拥有 的 账号 与 密码 来 尝试 登入 吧 ! 那 
如 有 果 你 输入 


的 账号 密码 是 对 的 ， 却 发 现 如 下 的 画面 时 ， ”肯定 是 某 些 档案 权限 或 者 


是 SELinux 设 定 


3 








错误 ! 请 参考 /var/log/messages 或 /var/log/samba/* 里 面 的 登录 档 来 修 
改 ! 


图 16.4-9、 使 用 PDC 账号 登入 却 发 现 权 限 错误 的 图 示 








4. 观察 用 户 的 家 目录 与 配置 文件 
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全 dmtsai 衣 ‘This is vbird's samba server SS [elE4 
档案 四 篇 辑 人 E) ”检视 四 ”我 的 最 要 他 ) 工具 们 吉明 他 | 志 

Oi- Ds xax |[- 

钢 址 加 ) [3B Ka 了 | 贺 穆王 

资料 来 x 


加 点 面 名 profile 
田 蚁 我 的 文件 


日 < 本 楼 磁 碟 已:) 


HD Documents and Settings ] 
H (DD Program Files 
9 WINDOWS 2 9 
田 各 光碟 楼 人 D; 
ea s1s vbird's samba server fbirdserveD (E:) 












































田 区 的 制 台 
本 得 机 8 上 的 芳 郑 


到 资源 回收 简 4| 吕 














一 


如 果 你 可 以 顺利 登入 的 话 ， 打 开 档案 总 管 后 应 该 可 以 看 到 类 似 下 方 的 画 
面 : 


图 16.4-10、 登 入 PDC 后 ， 取 得 的 家 目录 状态 


呵呵 ! 该 连 上 的 通通 连结 上 来 哆 ! 你 也 可 以 在 自己 的 家 目录 (K 槽 ) 新 增 
移 除数 据 


的 ! 是 否 很 不 错 啊 ! 和 人! 而 当 你 注销 之 后 ， 你 在 Windows 果 面 上 类 
所 进行 的 各 项 个 


人 化 设 定 通通 会 被 移动 到 /winhome/dmtsai/profile 当中 喔 ! 如 果 不 相 信 
的 话 ， 请 自 


行 前 往 Samba 服务 器 上 头 瞧 一 瞧 就 知道 了 。 
16.4.4 Wimdows 7 的 客户 端 


根据 SAMBA 官网 的 说 明 ， 支 持 Windows 7 的 Samba 版 本 必须 要 高 于 
3.3 文 才 行 ， 





还 好 ， 我 们 的 CentOS 6.x Samba 版 本 真 的 是 高 于 3.3.x 的 3.5.x， 因 此 理 
论 上 是 支 


持 Windows 7 的 ! 只 不 过 Windows 7 要 加 入 Samba PDC 还 得 要 修改 注 
册 码 才 行 ! 这 


部 份 真 的 是 给 它 很 困扰 ! 在 Windows 7 机 码 的 修改 方面 ， 主 要 是 修改 底 
下 的 机 码 : 


#1. 这 个 部 分 是 进行 『 新 增 ] 机 码 ! 

[HKEY_LOCAL MACHINE\SYSTEM\CurrentControlSet\services\Lanman' 
ameters| 

“DomainCompatibilityMode”=dword:00000001 
“DNSNameResolutionRequired”=dword:00000000 
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入 主 壮 肚 王 生 式 3 [oe lz)| 
杠 窒 () ”六 强 (E) ” 术 剖 (V) “我 的 过 和 妥 (A) ”说明 (H) 
> -出 kbdhid ^|| 名 和 双开 EE 
: Er 局 ( 纠 设 全 REG_SZ ( 数 信 
3 国 KSecpkg 名 DNSNameResoluti Required REG_DWORD Ox00! 
-加 OE PDomainCompatibility Mode REG_DWORD Ox00! 


P| EnablePlainTextPassword REG_DWORD Ox00! 


> -LanmanServer 
24- LanmanWorkstation [9 


到 出 NetworkProvider 


Paramesters 1 DomainCompatibilityMode 


si 下 《数值 资料 他) 底数 
ae 人 @ 十 六 进位 人 四) 
Se 器 十 淮 位 D) 

Imhosts 1 

Lsa 2 4 

LsL FC 
、 IST CAC 

Wi | } 


] 














名 多 名 名 各 名 











有 陪 \HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\services\LanmanWorkstation\Parameters 


4 
至 


0 


修改 的 方式 为 ， 在 Windows7 的 执行 里 面 输 入 『 regedit 」， 会 出 现 如 下 
的 画面 : 


图 16.4-11、Windows 7 注册 机 码 的 动作 


先 由 (1) 左 侧 窗 口 一 层 一 层 点 选 到 我 们 所 需要 的 目标 去 ， 然 后 (2) 观 凤 最 
底下 的 机 


码 顺序 看 对 不 对 。 之 后 (3) 在 右 侧 窗口 点 选 我 们 所 需要 的 机 码 ， 如 果 是 
要 新 增 ， 那 就 是 


在 右 侧 空白 处 右键 单 击 选 新 增 即 可 增加 一 组 机 码 名 称 。 最 后 (4) 双 击 机 
码 会 出 现 可 供 修 


改 的 窗口 ， 那 就 改 成 上 面 表格 中 的 要 求 即 可 。 更 多 关于 Windows 7 加 入 
PDC 的 相关 数 


据 ， 请 碍 阅 文 末 的 参考 数据 部 分 喔 。 


等 到 将 机 码 修订 完毕 ， 你 束 可 以 使 用 与 Windows XP 相同 的 方式 来 加 入 
PDC 呢 ! 











16.4.5 PDC 之 问题 克服 


如 果 老 是 发 生 错误 讯 奶 为 『 使 用 的 帐户 是 计算 机 帐户 。 请 使 用 你 的 通用 
用 户 帐 户 或 


本 机 用 户 帐 户 来 存 取 这 台 服 务 器 上 时， 你 可 以 这 样 做 的 : 

先 察 看 一 下 /var/log/samba 里 面 的 登录 文件 信息 ， 尤 其 是 
log.vbirdwinxp 关于 这 部 主机 的 信息 响 ; 

如 果 还 是 无 法 解决 ， 可 以 在 Imhosts 里 面 增加 vbirdwinxp 的 卫 与 主机 


名 的 对 应 ， 然 后 将 samba 整个 关 挤 『/etc/init.d/smb stop」， 等 待 一 段 时 
司 
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让 NetBIOS 的 名 称 解析 时 间 逾 时， 再 重新 启动 samba 『[/etc/init.d/smb 
start」， 然 后 再 重新 做 一 次 输入 root 的 密码 那个 动作 

在 鸟 哥 尝试 过 的 案例 中 ， 上 面 第 二 个 步 又 挺 有 效 的 ! 不 过 ， 还 是 得 要 守 
看 


/Var/log/samba 里 面 的 登录 信息 才 行 喔 ! 


一 些 Windows 账号 在 Windows 系统 上 面 的 使 用 技巧 


虽然 PDC 很 好 用 ， 不 过 你 要 注意 的 是 ， 每 次 你 使 用 PDC 上 头 的 账号 登 
入 Windows 


客户 端 主机 时 ， Windows 主机 会 由 /winhome/username/profile/ 当中 加 载 
所 需要 的 


数据 ， 并 暂时 局 动 一 个 文件 夹 在 Windows 系统 的 C:\Documents and 


Settings\username 当中 ， 如 果 你 的 家 目录 下 的 profile 数据 太 多 时 ， 光 是 
传输 怠 会 


化 去 很 多 时 间 的 ! 
所 以 ， 你 应 该 将 一 些 档案 数据 放置 到 你 的 家 目录 下 ， 亦 即 K 槽 当中 ， 


尽量 不 要 使 


预 设 的 [我 的 文档 夹 ] ， 因为 [我 的 文档 夹 」 会 将 数据 移 
动 及 | 


『 /winhome/username/profile/My Documents/ 」 目录 下 ， 同 样 的 ， 储存 


到 梨 面 的 数 


据 会 被 放置 到 『 /winhome/username/profile/ 桌 面 / 」 目录 中 ， 那 样 在 登入 
与 注销 时 


会 伦 去 很 多 时 间 喔 ! 这 个 小 地 方 也 要 注意 的 呢 ! 人 信 


好 了 ， 关 于 SAMBA 的 PDC 作法 我 们 就 谈 到 这 里 ， 还 有 更 多 的 信息 你 
可 以 前 往 这 个 


章节 最 后 面 的 参考 数据 所 列 出 的 网 址 去 查阅 ， 因为 还 有 很 多 的 作法 
响 ! 事实 上 ， 乌 哥 


觉得 在 一 个 网 域 当 中 ， 如 果 有 多 部 的 Windows NT 主机 ， 例 如 Windows 
2000/XP pro. 这 


一 类 的 比较 稳定 的 个 人 使 用 桌面 版 本 时 ， 使 用 PDC 就 很 有 用 了 1! 因为 
Windows 2000/XP 


pro. 也 是 一 个 多 人 的 操作 系统 ， 不 像 Windows 98 是 单 人 的 操作 系统 。 
所 以 ， 当 使 用 


Windows 2000/XP pro. 而 无 法 登入 PDC 时 ， 你 是 无 法 使 用 Windows 
2000/XP pro. 上 


面 的 任何 的 信息 的 。 但 是 在 Windows 98 上 面 若 无 法 正确 的 登入 ， 你 仍 
然 具 有 该 计算 


机 的 主 控 权 喔 ! 


另外 ， 设 定 Windows 客户 端 之 前 ， 请 先 确认 你 的 Windows 是 什么 版 
本 ? 上 述 的 


动作 对 于 Windows XP 家 用 版 (Home), Windows 7 是 没有 作用 的 ! 请 先 
确认 才 行 喔 ! 


16.5 服务 器 简单 维护 与 管理 
除了 上 述 的 正规 作法 之 外 ， 其 实 还 有 一 些微 重 要 的 事情 要 跟 大 家 分 至 























的 ! 
16.5.1 服务 器 相关 问题 元 服 
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通常 我 们 在 设 定 SAMBA 的 时 候 ， 如 果 是 以 单一 主机 的 工作 组 
(Workgroup) 的 方式 


来 进行 smb.conf 的 设 定时 ， 几 乎 很 容易 束 可 以 设 定 成 功 了 ! 并 没有 什么 
很 困难 的 步骤 。 


不 过 ， 万 一 还 是 无 法 成 功 的 设 定 起 来 ， “请 务必 肥 看 登录 档 ， 也 就 是 在 


/var/log/samba/ 


里 面 的 数据 ! 在 这 里 面 的 资料 当中 ， 你 会 发 现 : 喷 ! ”怎么 这 么 多 档 采 
啊 ! 因为 我 们 在 


smb.conf 里 面 设 定 了 : 





log file = /var/log/samba/log.%m 
那个 %m 是 指 客户 端 计算 机 的 NetBIOS Name 的 意思 ， 所 以 ， 当 有 个 


vbirdwinxp 
的 主机 来 登入 我 们 的 vbirdserver 主机 时 ， 那 么 登入 的 信息 惑 会 被 纪录 在 


/Var/log/samba/log.vbirdwinxp ”档案 喔 ! 而 如 果 万 一 来 源 IP 并 没有 
Netbios name 


的 时 候 ， 那 么 很 可 能 是 一 些 错 误 讯 忧 ， 这 些 错 误 讯 娠 束 会 被 纪录 到 
log.smbd, log.nmbd 


里 面 去 了 ! 所 以 ， 如 果 你 要 察看 菜 部 计算 机 连 上 你 的 SAMBA 主机 发 生 
了 什么 问题 时 ， 


特别 要 留意 这 个 登录 档 的 形式 喔 ! 


另外 ， 如 采 你 的 SAMBA 明明 已 经 局 动 完成 了 ， 却 偏偏 老 是 无 法 成 功 ， 














又 无 法 碍 出 
问题 时 ， 建 议 先 关闭 Samba 一 阵子 ， 再 重新 启动 : 
/etc/init.d/smb stop 


在 乌 哥 过 去 的 案例 当中 ， 确 实 有 几 次 是 因为 PID 与 NetBIOS 的 问题 ， 
导致 整个 


SAMBA 怪 怪 的 一 所 以 完整 的 关闭 之 后 ， 经 过 一 阵子 的 短暂 时 间 ， 再 重 
新 月 动 ， 应 该 就 


可 以 恢复 正 负 了 ! 
还 有 ， 万 一 你 在 进行 号 入 的 动作 时 ， 老 是 发 现 『 你 没有 相关 写 入 的 权 


限 ! 」， 不 要 


怀疑 ， 几 乎 可 以 确定 是 Permission 的 问题 ， 也 就 是 Linux 的 权限 与 
SAMBA 开放 的 权 


限 并 不 相符 合 ， 或 者 是 SELinux 在 搞鬼 ! 无 论 如 何 ， 你 必须 要 了 解 能 
不 能 写 入 Linux 

人 磁盘， 看 的 是 PID 的 权限 与 Linxu 文件 系统 是 否 吻合 ， 而 那个 smb.conf 
里 面 设 定 的 

相关 权限 只 是 在 SAMBA 运作 过 程 当 中 『 预 计 」 要 给 使 用 者 的 权限 而 
已 ， 并 不 能 取代 真 


正 的 Linux 权限 咀 ! 所 以 ， 万 一 真 的 发 现 该 问题 存在 ， 请 登入 Linux 系 
和 











志 ， 和 由: 届 
下 该 对 应 的 目录 的 permission 吧 ! 和 ^ 和 


另外， 通常 造成 明明 已 经 查 到 分 享 (smbclient -L 的 结果 )， 却 老 是 无 法 
顺利 挂 载 


的 情况 ， 主 要 有 压 下 几 个 可 能 的 原因 : 





虽然 smb.conf 设 定 正确 ， 但 是 设 定 值 『 path 」 所 指定 的 目录 却 怎 记 
建立 


了 (最 第 见 的 采样 ! ); 


虽然 smb.conf 设 定 为 可 擦 写 ， 但 是 目录 针对 该 用 户 的 权限 却 是 只 读 
或 者 是 


无 权限 ; 

虽然 权限 全 部 都 正确 ， 但 是 SELinux 的 类 型 却 错误 了 ! 

虽然 全 部 的 数据 都 是 正确 的 ， 但 是 SELinux 的 规则 (getsebool -a) 却 没 
有 顺利 局 动 。 


上 述 都 是 一 些 常 见 的 问题 ， 更 多 问题 的 解决 方案 ， 请 参考 最 正确 的 登录 
文件 信息 吧 ! 


和 人 和 
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16.5.2 让 用 户 修 改 samba 密码 同时 同步 更 新 /etc/shadow 密码 


有 个 问题 是 ， 我 们 知道 使 用 者 可 以 透 过 passwd 修改 /etc/shadow 内 的 密 
码 ， 而 


且 用 户 也 能 够 自行 以 smbpasswd 修改 Samba 的 密码 。 如 果 用 户 是 类 似 
PDC 的 用 户 ， 


那么 这 些 用 户 理 论 上 就 很 少 使 用 Linux 啦 ! 那么 想 一 想 ， 能 否 让 用 户 在 
修改 Windows 


密码 (就 是 Samba) 时 ， 同 步 更 新 Linux 上 面 的 /etc/shadow 密码 呢 ? 答 
案 是 可 行 





的 啦 ! 而 且 动 作 并 不 困难 一 因为 smb.conf 里 头 已 经 提供 了 相对 应 的 参数 
设 定 值 ! 你 可 


以 参考 底下 的 网 站 数据 : 
http://moto.debian.org.tw/viewtopic.php?t=7732& 


http://de.samba.org/samba/docs/using samba/ch09.html 


乌 哥 做 个 总 结 ， 基 本 上 你 需要 的 是 smb.conf 里 面 [global] 的 几 个 设 定 
值 : 


[root@www ~]# vim /etc/samba/smb.conf 
[globalj 
# 保留 前 面 的 各 项 设 定 值 ， 并 新 增 底下 三 行 即 可 : 





unix password sync = yes <== 让 Samba 与 

Linux 密码 同步 

passwd program = /usr/bin/passwd %u <== 以 root 呼叫 修改 
密码 的 指令 

pam password change = yes <== 并 且 支 持 pam 模 

块 ! 

[root@www ~|]# testparm 

[root@www ~|]# /etc/init.d/smb restart 


J 当 你 以 一 般 用 户 (例如 dmtsai) 修改 samba 的 密码 时 ， 就 会 像 这 


[dmtsai@www ~]$ smbpasswd 


Old SMB password: <== 得 先 输入 旧 密 码 ， 才 能 输入 新 密码 
New SMB password: 
Retype new SMB password: 


Password changed for user dmtsai <== 这 就 是 成 功 的 字样 ! 


少 于 6 个 ! 

machine 127.0.0.1 rejected the password change: Error was : Password 
restriction. 

Failed to change password for dmtsai 
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16.5.3 利用 ACL 配合 单一 使 用 者 时 的 控 管 
想象 个 案例 ， 如 采 你 是 学 校 的 网 管 人 员 ， 有 个 兼任 老师 癌 你 申请 账 
XE 


Dy 
口 下 
号， 主要 是 要 





在 很 多 班级 内 取得 同学 的 专题 资料 。 ”因为 该 老师 是 兼任 的 ， 你 或 许 担 
心 一 \ 小 心 该 教 


师 就 将 同学 的 辛苦 资料 给 销毁 ， 倒 不 是 教师 们 故意 的 ， 而 是 很 多 时 候 .… 
不 就 嘛 ! 这 个 


时 候 如 果 你 将 该 老师 加 入 同学 的 群 组， 然后 偏偏 同学 们 所 在 的 目录 是 群 
组 可 写 入 的 话 ， 








那么 该 教师 就 能 够 拥有 可 探 写 的 权限 了 ， 也 就 容易 造成 一 些 莫 名 的 灾难 





那 该 怎么 办 ? 其 实 可 以 透 过 ACL 来 管理 某 个 目录 的 单一 用 户 权 力 啦 ! 
所 以 说 ， 权 


限 的 管理 不 必 透 过 smb.conf 的 设 定 ， 只 要 透 过 ACL 来 管理 就 能 够 达到 
你 所 需要 的 目 


的 了 。 关于 ACL 
了 ， 这 里 不 再 喝 
唆 ， 请 自行 前 往 查 阅 响 ! 人 人 
16.6 重点 回顾 


由 Tridgell 利用 逆向 工程 分 析 网 廊 得 到 Server Message Block 协议 的 
产 


生 ; 
Samba 名 称 的 由 来 是 因为 需 包含 没有 意义 的 SMB server 之 故 ; 
SAMBA 可 以 让 Linux 与 Windows 直接 进行 文件 系统 的 使 用 ; 


SAMBA 主要 架构 在 NetBIOS 上 发 展 的 ， 且 以 NetBIOS over TCP/IP 
克服 


NetBIOS 无 法 跨 路 由 的 问题 ; 


Samba 使 用 的 daemon 主要 有 管理 分 享 权限 的 smbd 以 及 NetBIOS 解 
开 的 











nmbd 


Samba 使 用 的 模式 主要 有 单机 的 workgroup 方式 ， 以 及 网 域 控 管 的 
PDC 模 


| 


Samba 的 主 配 置 文件 之 档 名 为 smb.conf 

smb.conf 内 ， 主 要 区 分 为 [global] 服务 器 整体 设 定 与 [share] 分 享 的 资 
源 两 大 部 分 

Samba 使 用 者 账号 控 管 主要 的 设 定 值 为 security = {share,user,domain} 
等 

Samba 客户 端 可 使 用 smbclient 以 及 mount.cifs 进行 网 芳 的 挂 载 


人 Samba 默认 使 用 数据 库 记 录 帐 户 信 息 ， 新 增 账 号 用 pdbedit ， 
E> 


密码 则 用 smbpasswd 
Samba 主要 支持 CUPS 的 打印 机 服务 器 


在 权限 控 管 方 面 ， 最 容易 出 错 的 为 SELinux 的 规则 与 类 型 (SELinux 
type) 


a PDC 的 设 定 方面 ， 由 于 与 主机 名 相关 性 很 高 ， 建 议 设 定 Imhosts 档 


不 





容 为 宜 
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16.7 本 章 习 题 
一 般 来 说 ， SAMBA 使 用 的 配置 文件 放置 在 哪里 ? 档 名 为 何 ? 
使 用 的 档 名 为 smb.conf ， 通 常会 放置 在 /etc/samba/smb.conf 里 面 ， 不 


过 ， 最 好 可 以 使 用 rpm -qc packagename 来 查询 ! 
哪 一 个 指令 可 以 用 来 判断 smb.conf 这 个 配置 文件 的 正确 性 ? 
当 我 们 修改 完 smb.conf 之 后 ， 记 得 要 以 testparm 来 进行 samba 的 确认 ! 
哪 一 个 指令 可 以 用 来 察看 SAMBA 主机 分 享 出 什么 目录 ? 
利用 smbclient 即 可 : [smbclient -L NetBiosName -U username 」 ! 
在 Linux 客户 端 挂 载 网 芳 的 文件 系统 主要 是 依据 哪个 指令 来 达成 的 ? 
就 是 透 过 mount.cifs 或 mount -t cifs 来 达成 的 ! 
我 今天 使 用 smbpasswd 去 新 增 一 位 使 用 者 badbird， 让 他 可 以 登入 我 





Linux SAMBA 主机 ， 但 是 无 论 如 何 束 是 无 法 新 增 。 你 认为 原因 可 能 是 
什么 ? 


由 于 Samba 用 户 的 信息 必须 要 存在 于 /etopasswd 里 面 ， 既 然 无 法 新 


增 ， 
应 该 先 确认 badbird 这 个 用 户 已 经 存在 于 Linux 系统 当中 了 ! 
16.8 参考 数据 与 延伸 阅读 

注 1: 维基 百科 对 Samba 的 来 源 与 作者 的 介绍 : 
http://en.wikipedia.org/wiki/Samba software 
http://en.wikipedia.org/wiki/Andrew_Tridgel] 


man 5 smb.conf 


Study Area : 


http:/www.study-area.org/inux/servers/linux samba.htm 


电子 书 Using Samba: 
http://de.samba.org/samba/docs/using samba/ch00.html 


Samba PDC HOWTO: 


http://us5.samba.org/samba/docs/man/Samba-HOWTO-Collection/samba- 
pdc. 


html 





杨 锦 昌 老师 的 SAMBA 密 技 : 


http://apt.nc.hcc.edu.tw/web/student server FC1.htm#samba 
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Gentoo Linux 的 Samba 文件 : 


http:/www.gentoo.org/doc/zh _ tw/quick-samba-howto.xml 
cupsaddsmb 用 法 : 


http:/www.enterprisenetworkingplanet.com/netsysm/article.php/3621876 


下 载 CUPS-windows 的 网 站 : http://ftp.easysw.com/pub/cups/windows/ 


eyesblue 在 讨论 区 针对 语系 的 说 明 : 





http://phorum.vbird.org/viewtopic.php?t=22001 


testparm -V 
关于 Windows 7 加 入 PDC 的 机 码 相关 问题 : 


https://wiki.samba.org/index.php/Windows7 


http:/www.linuxquestions.org/questions/linux-server-73/joining-a-win 





http:/www.1stbyte.com/2009/05/31/join-windows-7-to-samba-pdc/ 


# 2. 这 个 部 分 是 进行 『 修 改 」 机 码 ! 不 过 ， 如 果 你 作 了 ， 会 让 你 可 加 入 
PDC， 


# 但 却 无 法 顺利 的 登入 ! 所 以 这 里 得 要 特别 注意 ! 

[HKEY LOCAL MACHINFE\SYSTEM\CurrentControlSet\services\Netlogor 
“RequireSignOnSeal”=dword:00000000 
“RequireStrongKey”=dword:00000000 

2001/09/17: 好 入 以 前 曾经 完成 的 一 项 任务 人 和 


2003/07/26: 将 2001/09/17 所 写 的 内 容 做 了 大 幅度 的 修订 ， 增 加 原理 以 
及 更 多 的 设 定 


项 目 ! 


2003/09/10 : 将 PDC 部 分 补充 的 更 完整 ， 因 为 加 入 了 个 人 化 
的 Profiles 在 


/home/samba/profiles 当中 了 ! 同时 加 入 课 后 练习 喔 
2003/09/30: 加 入 了 .CUPS 打印 机 的 支持 ! 


2005/10/17: Samba 2.2 在 中 文 编码 上 面 与 最 新 的 samba 3.0.x 有 版 本 不 
同 。 请 参考 ; 中 


文 编码 网 友 的 详细 说 明 喔 ! 
2006/12/20: 将 旧 的 文章 移动 到 此 处 
2006/12/29: 终于 写 完 了 Samba 了 ! 将 PDC 改写 ， 很 多 乱 乱 的 地 方 都 








孜 探 丁 公 


2007/04/12: 原本 对 homes 的 说 明 中 ， 那 个 umask 应 该 是 002 ， 原 先 的 
022 是 错 的 ! 


2010/06/11: 一 直 误 会 了 作者 的 名 字 ， 名 称 为 Andrew Tridgell 而 不 是 
Tridgwell ! 


抱歉 了 ! 
2011/03/18: 将 旧 的 基于 CentOS 4.x 的 文章 移动 到 此 处 


2011/03/31: 终于 搞定 了 Samba ， 光 是 实 作 就 花 去 乌 哥 大 部 分 的 时 间 了 
A EE | 
菏 IE。 


2011/07/29: 将 基于 CentOS 5.x 的 版 本 移动 到 此 人 处 


2011/07/29: PDC 的 部 分 ， 终 于 可 以 加 入 windows7 呢 ! 开心 ! 
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最 近 更 新 日 期 : 2011/08/02 


代理 服务 器 的 功能 是 可 以 代理 局 域 网 络 的 个 人 计算 机 来 癌 因 特 网 取得 网 
页 或 其 他 数据 的 一 种 服务 ， 由 于 


代理 取得 的 数据 可 以 保存 一 份 在 服务 器 的 快 取 上 ， 因 此 以 往 有 类似 『 假 
象 加 速 」 的 功能 ! 不 过 ， 目 前 网 


络 带 宽 已 经 比 以 前 好 很 多 ， ”因此 代理 服务 器 倒是 很 少 使 用 在 这 方面 。 
取而代之 的 是 局 域 网 络 『 高 阶 防火 


墙 ] 的 角色 ! 这 里 的 『 高 阶 」 指 的 是 OSI 七 层 协议 里 面 的 高 层 ， 因 为 代 
理 服务 器 是 用 在 应 用 层 上 的 一 种 





防火 墙 方式 啦 ! 不 像 iptables 是 用 在 网 络 、 传 输 层 。Linux 上 启动 代理 
服务 器 的 是 squid 这 个 软件 哟 ! 


17.1 什么 是 代理 号 (ProxX 


17.1.1 什么 是 代理 服务 器 


17.1.2 代 王 & 的 运作 流程 
17.1.3 上 层 代 理 服务 器 
17.1,.4 #8 与 NAT 服务 器 的 差异 


17.1.5 架设 代理 服务 器 的 用 途 与 优 缺 点 
17.2 Proxy 服务 器 的 基础 设 定 
17.2.1 Proxv 所 需 的 squid 其 结 校 


17.2.2 CentOS 预 设 的 squid 设 定 ; http_port, cache _ dir (SELinux), 


cache mem 








17.2.4 其 他 额外 的 功能 项 








17.3.2 测试 prox 败 的 画 


17.4 # 的 其 他 应 用 设 定 





17.4.2 Prox 放 在 NAT 服务 器 上 : 通 透 式 代 理 (Transparent Prox 


17.4.3 Proxy 的 认证 设 定 





17.1 什么 是 代理 服务 器 (Proxy) 
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Internet 


> 






\ 理 伺服 器 


(Proxy) 


合 人 电脑 个 人 起 胸 个 人 和 沁 脑 和合 人 泊 脑 


代理 服务 器 (Proxy) 的 原理 其 实 很 简单 啦 ! 就 是 以 类 似 代理 人 的 号 份 去 
取得 用 户 


所 需要 的 数据 就 是 了 ! ”但 是 由 于 它 的 [代理 」 能 力 ， 使 得 我 们 可 以 透 
过 代理 服务 器 来 


达成 防火 墙 功 能 与 用 户 浏览 数据 的 分 析 ! 此外， 也 可 以 厌 由 代理 服务 
锅 来 达成 节省 带 


览 的 目的 ， 以 及 加 快 内 部 网 络 对 因特网 的 WWW 访问 速度 ! 总 之 ， 代 
理 服务 器 对 于 企业 


来 说 ， 实 在 是 一 个 很 不 错 的 东西 啊 ! 
17.1.1 什么 是 代理 服务 器 


在 真实 世界 中 ， 我 们 或 许 会 帮忙 家 人 去 办 理 一 些 杂 务 吧 ! 举 个 例子 来 
说 ， 例 如 缴费 


或 者 是 申办 提 球 卡 等 等 的 ， ”由 于 你 并 不 是 『 申 请 者 本 人 」 而 是 『 代 理 
人 的 角色 ， 因 


此 有 时 候 会 需要 筋 出 一 些 证 件 就 是 了 。 “那么 在 网 络 上 面 的 代理 服务 器 


(Proxy Server) 


征 怎么 回 事 呢 ? 它 最 主要 的 功能 就 如 同 我 们 上 面 提 的 真实 世界 一 样 ， 
当 客 户 端 有 因 特 


网 的 数据 要 求 时 ，Proxy 会 帮 用 户 去 向 目的 地 取得 用 户 所 需要 的 数据 。 
所 以 ， 当 客户 


端 指定 WWW 的 代理 服务 器 之 后 ， 用 户 的 所 有 WWW 相关 要 求 就 会 通 
过 代理 服务 器 去 捉 取 


: 整个 代理 服务 器 与 客户 端的 相关 性 可 以 由 下 图 约略 看 出 一 个 站 





图 17.1-1、 代 理 服 务 咒 、 客 户 闪 与 因特网 的 相关 性 示意 图 


一 般 来 说 ， 代 理 服务 絮 会 染 设 在 整个 区 网 的 单 点 对 外 防火 墙 上 头 ， 而 在 
区 网 内 部 的 


计算 机 就 都 是 透 过 Proxy 来 癌 因 特 网 要 求 数据 的 ， 这 就 是 所 谓 的 『 代 理 
服务 器 」 啦 ! 


当然 ， 上 面 的 以 构 仅 只 是 一 个 案例 ， 但 是 这 个 架构 比较 多 人 用 的 原因 ， 
古 因为 这 样 的 


Proxy server 还 可 以 兼 做 高 阶 防 火 墙 之 用 啦 ! 
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在 Proxy 与 客户 端的 相关 性 当中 ， 你 必需 要 了 解 的 是 : 客户 端 癌 外 部 要 
求 的 数据 


事实 上 都 是 Proxy 帮 用 户 取得 的 ， 因 此 因特网 上 面 看 到 要 求 数据 者 ， 将 


会 是 Proxy 服 

务 器 的 IP 而 不 是 客户 端的 IP。 举 个 例子 来 襄 ， 假 如 鸟 哥 在 我 的 浏览 器 
设 定 了 我 们 学 

proxy.ksu.edu.tw 做 为 我 的 Proxy 好 了 ， 再 假设 我 
IP 是 


120.114.141.51 ， 那 么 当 我 想 要 取得 Yahoo 的 新 闻 信 息 时 ， 事 实 上 ， 都 
日 
XE 


proxy.ksu.edu.tw 帮 我 去 取得 的 ， 所 以 在 Yahoo 的 网 站 上 面 看 到 要 求 数 
据 的 人 是 谁 呢 ? 


呵呵 ! 当然 就 是 proxy.ksu.edu.tw 而 不 是 120.114.141.51 哆 ! 这 样 可 以 了 
解 Proxy 


的 功能 了 吗 ? 


Proxy 还 有 一 个 很 棒 的 额外 功能 ， 那 就 是 防火 墙 的 
功能 ! 


一 下 上 面 的 图 示 ， 你 可 以 及 现 一 件 事情 ， 那 就 是 客户 并 的 个 人 计算 机 要 
连 上 因特网 一 定 














要 经 过 Proxy 服务 器 。 并 且 ， 如 果 有 人 想 要 入 侵 你 的 系统 时 ， 由 于 你 的 
proxy 在 最 外 


部 啊 ， 所 以 攻击 者 就 会 攻击 错 方向 ， 如 此 一 来 ， 不 束 比 较 安全 ! 此 
外 ， 由 于 整个 因 特 


网 对 外 都 是 经 过 proxy ， 也 就 是 『 单 点 对 外 | 的 情况 ， 这 种 状态 确 下 要 
来 管理 防火 墙 


也 是 比较 简单 的 喔 ! 和 人 人 
17.1.2 代理 服务 器 的 运作 流程 


了 解 了 Proxy 的 功能 之 后 ， 我 们 来 谈 一 谈 那 么 Proxy 到 底 是 怎样 运作 的 
呢 ? 为 何 


人 『 加快 网 络 存 取 效 率 」 的 好 处 ? 这 就 必需 要 以 底下 的 图 示 来 说 
明了 ! 


图 17.1-2、 代 理 服务 需 的 运作 流程 图 : 快 取 数 据 与 客 尸 站 


当 客 户 端 指定 了 代理 服务 器 之 后 ， 在 客户 端 想 要 取得 因特网 上 面 的 信息 
时 ， 它 是 这 


样 取得 数据 的 ( 注 : 那个 Cache 表示 为 Proxy 服务 右 的 硬盘 的 意思 ): 








当 Proxy 的 快 取 拥 有 用 户 所 想 要 的 数据 时 (Step a~ d): 
net.qiang(Ohotmail.com 
a. Client 端 向 Server 端 发 送 一 个 数据 需求 封包 ; 


b. Server 站 接收 之 后 ， 先 比 对 这 个 封包 的 『 来 源 1 与 预计 要 前 往 的 『 目 
标 ] 





网 站 是 否 为 可 接受 ? 如果 来 源 与 目标 部 是 合法 的 ， 或 者 说 ， 来 源 与 目 
标 网 站 我 


们 的 Proxy 都 能 帮忙 取得 资料 时 ， 那 么 Server 端 会 开始 蔡 Client 取得 资 
料 。 


这 个 步骤 中 比较 重要 的 就 是 『 比 对 政策 】 啦 ， 有 点 像 是 认证 的 感觉 啦 ; 


c. Server 首先 会 检查 目 己 快 取 (新 的 数据 可 能 在 内 存 中 ， 较 旧 的 数据 则 
放置 


在 硬盘 上 ) 数据 ， 如 果 有 Client 所 需 的 数据 ， 那 就 将 数据 准备 取出 ， 而 
不 经 


过 问 Internet 要 求 数据 的 程序 ; 
d. 最 后 当然 就 是 将 数据 回 传 给 Client 并 哆 ! 














当 Proxy 的 快 取 没 有 用 户 所 想 要 的 数据 时 (Step 1~ 5): 

1. Client 端 向 Server 端 发 送 一 个 数据 需求 封包 ; 

2. Server 端 接收 之 后 ， 开 始 进行 政策 比 对 

Server 发 现 快 取 并 没有 Client 所 需要 的 资料 ， 准 备 前 往 因 特 网 抓 取 数 





4. Server 开始 同 Internet 发 送 要 求 与 取得 相关 资料 ; 
5. 最 后 当然 就 是 将 数据 回 传 给 Client 端 咖 ! 


上 面 的 流程 分 析 里 面 ， 我 们 可 以 清楚 的 知道 ， 当 Proxy 曾经 帮 某 位 用 户 
取得 过 A 

数据 后 ， 当 后 来 的 用 户 想 要 重复 取得 A 数据 时 ， 那 么 Proxy 就 会 从 上 自己 
的 快 取 里 面 将 


A 数据 取出 传送 给 用 户 ， 而 不 用 跑 到 因特网 去 取得 同样 的 这 份 资 料 喔 。 
因为 没有 去 因 特 





网 找 数 据 ， 当 步骤 4 的 流程 很 伦 时 间 时 ， 那 么 透 过 Proxy 忽略 步骤 4 ， 
感觉 上 就 好 


像 网 络 速度 变 快 了 ! 但 其 实 只 是 直接 从 Proxy 的 快 取 里 面 抓 而 已 (所 以 
才 会 有 人 说 『 假 


象 网 络 加 速 」 的 功能 )! 这 就 是 两 个 流程 最 大 的 兰 异 了。 


在 目前 的 因特网 社会 里 ， 由 于 宽带 技术 已 经 很 成 熟 ， 所 以 在 不 乱用 的 情 
况 下 ， 网 络 


融 宽 理论 上 是 足够 的 (除非 要 连 到 国外 去 )。 那么 用 了 Proxy 之 后 效能 会 
不 会 更 提升 


呢 ? 答案 是 ， 


[应 该 不 会 ] ! 喻 ? 怎么 会 这 样 呢 ? 从 上 面 的 流程 分 析 中 ， 我们 发 现 
Proxy 


会 第 第 去 读 取 人 硬盘 内 的 数据 ， 而 人 硬盘 内 的 快 取 数 据 又 是 透 过 菏 些 特殊 方 


此 要 找到 该 份 数据 就 要 花 一 些 时 间 ， 再 加 上 如 果 硬 件 效能 (硬盘 或 主板 
心 片 组 ) 不 佳 时 ， 


那么 加 了 Proxy 反而 会 让 你 感觉 网 络 传输 怎么 『 卡 卡 的 上 」 哆 ! 这 点 得 要 
特别 注意 才 行 ! 
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人 Internet 












Local 伯 


上 峙 代 


其 他 网 路 ee 
日 的 地 则 人 
自己 前 往 

往日 本 
个 人 亿 脑 

往 欧 洲 


上 内 代理 伺服 器 -3 


Tips: 

Proxy 对 于 cache 的 速度 是 很 要 求 的 ， 而 这 个 cache 就 是 硬盘 啦 ! 
当然 ， 硬 盘 容 量 必需 要 足够 大 ， 而 且 还 要 『 足 够 快 ] 才 行 ! 因为 由 
上 面 的 流程 当中 ， 我 们 不 难 发 现 ，cache 是 一 直 被 重复 存 取 的 一 个 
地 方 嘱 ! 所 以 硬盘 的 好 坏 就 差别 很 大 啦 ! 可 以 说 他 是 影响 一 个 Proxy 
效能 好 坏 的 关键 点 呢 ! 

17.1.3 上 层 代 理 服务 絮 


想 一 想 ， 既 然 Proxy 是 帮忙 客户 端 进行 网 页 代理 的 工作 ， 那 么 我 们 的 
Proxy 能 不 


能 也 指定 另外 一 台 Proxy 当成 我 的 Proxy 的 Proxy 呢 ? 很 绕 口 吧 ! 其 实 
流程 像 底 下 





这 样 啦 : 
图 17.1-3、 上 层 代理 服务 器 示意 图 


就 是 我 们 的 Local proxy 并 不 会 主动 的 去 提 数 据 ， 而 是 再 透 过 『 上 层 代 
理 服 务 器 ] 


问 Internet 要 求 数据 ! 这 样 有 什么 好 处 呢 ? 由 于 可 做 为 我 们 的 上 层 代 理 
服务 器 的 主机 


通 第 是 具有 较 高 带宽 的 ， ”因此 我 们 透 过 它 去 要 求 数据 当然 『 理 论 上 1 
速度 会 更 快 喔 ! 


而 上 层 代 理 服 务 器 最 大 的 好 处 其 实 是 在 于 『 分 流 」 喔 ! 例如 下 图 所 
修 \: 


图 17.1-4、 以 多 部 上 层 代 理 服 务 器 达到 分 流 的 效果 示意 图 
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我 总 共 设 定 了 三 部 上 层 代 理 服务 器 ， 由 于 这 三 个 代理 服务 器 对 外 的 速度 
都 不 相同 ， 


所 以 ， 当 我 要 去 美国 时 ， 就 以 ”Proxyl ”来 要 求 资料 ， 要 连 欧 洲 就 以 
Proxy3 ， 至 于 要 连 


日 本 ， 就 以 Proxy 2 来 要 求 我 所 需要 的 数据 ， 如 此 一 来 ， 呵 呵 ! 可 以 让 
我 的 Proxy 达 


到 最 佳 的 效能 喔 ! 很 不 错 吧 ! 此 外 ， 为 了 节省 上 层 proxy 的 负担 ， 如 果 
是 其 他 网 络 位 


置 ， 我 们 则 设 定 由 自己 的 local proxy 提取 ~ 设 定 的 弹性 很 高 呢 ! 


由 于 代理 服务 需 需 要 管控 信任 的 来 源 端 客户 端 计算 机 ， 因 此 各 ISP 仅 能 
针对 自家 





Proxy 使 用 权 而 已 。 台湾 常见 的 几 家 ISP 提供 的 Proxy 


Hinet: http://service.hinet.net/2004/new adsl04.htm 
SeedNet: https://service.seed.net.tw/home/setting/server.htm 


由 于 当 用 户 透 过 Proxy 连 到 因特网 时 ， 网 络 看 到 的 是 Proxy 在 抓 取 数据 
而 不 是 该 


客户 端 ， 因 此 ， 我 们 不 难 发 现 Proxy 有 可 能 会 被 客户 端 过 度 的 滥用 ， 同 
时 也 有 可 能 会 


被 拿 来 为 非 作 歹 啊 ! 所 以 ， 目 前 绝 大 部 分 的 Proxy 已 经 『 停 止 对 外 开 
放 」 了 ， 仪 针对 


目 己 的 网 域内 的 用 户 提 供 本 项 服务 而 已 一 


因此 ， 如 果 你 要 自行 设 定 Proxy 的 时 候 ， 请 记得 去 你 当初 申请 网 络 的 
ISP (如 果 


征 学 术 单 位 ， 请 到 贯 单 位 的 计 中 网 页 瞧 瞧 即 可 ) 搜寻 一 下 ， 才 能 比较 有 
效 的 设 定好 你 的 


服务 器 喔 ! 因为 设 定 错误 的 话 ， 呵 呵 ! 上 层 Proxy 根本 不 提供 服务 ， 或 
者 是 上 层 Proxy 


Se 
先 ! 剧 先 ! 





17.1.4 代理 服务 器 与 NAT 服务 器 的 差异 


或 许 你 已 经 发 现 了 一 件 事 ， 那 就 是 : 在 内 部 局 域 网 络 使 用 私有 IP 的 客 
三 端 ， 不 论 


透 过 Proxy 或 者 NAT 均 可 以 直接 取得 WWW 的 服务 ， 那 么 NAT 与 
Proxy 有 没有 什么 


不 同 的 地 方 啊 ? 它们 不 都 是 可 以 让 内 部 的 计算 机 连接 出 去 吗 ? 其 实 这 两 





个 玩意 儿 差 异 
性 是 『 相 当 大 」 的 喔 ! 简单 说 明 如 下 : 


NAT 服务 右 的 功能 


3，Linux 的 NAT 功能 主要 透 过 封包 过 滤 的 方 





用 iptables 的 nat 表格 进行 IP 伪装 (SNAT) ， 让 客户 端 目 行 前 往 因 特 网 
a 





的 任何 地 方 的 一 种 方式 。 主 要 的 运作 行为 是 在 OSI 七 层 协议 的 二 、 三 、 


mo 


由 于 是 透 过 封包 过 滤 与 伪装 ， 因 此 客户 端 可 以 使 用 的 端口 口号 码 (第 四 
层 ) 较 弹 


性 ; 
Proxy 服务 器 的 功能 


主要 透 过 Proxy 的 服务 程序 (daemon) 提供 网 络 代理 的 任务 ， 因 此 Proxy 
能 不 


能 进行 某 些 工作 ， 与 该 服务 的 程序 功能 有 关 。 举例 来 说 ， 如 果 你 的 
Proxy 并 没 
有 提供 邮件 或 FTP 代理 ， 那 么 你 的 客户 端 就 是 无 法 透 过 Proxy 去 取得 这 


些 网 络 


资源 。 主要 运作 的 行为 在 OSI 七 层 协议 的 应 用 层 部 分 (所 谓 的 比较 "高 
阶 " 之 


意 )。 
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这 样 说 有 没有 比较 有 点 概念 了 呢 ?NAT 服务 器 是 由 较 底层 的 网 络 去 进 
行 分 术 的 工 


作 ， 至 于 通过 NAT 的 封包 是 干 嘛 用 的 ， NAT 不 去 管 他 ! 至 于 proxy 则 


主要 是 由 一 个 


的 功能 达成 的 ， 所 以 必需 要 符合 该 daemon 的 需求 ， 才 能 达到 某 
上 功能 ! 


17.1.5 架设 代理 服务 喜 的 用 途 与 优 缺 点 


现在 我 们 约略 知道 Proxy 的 功能 了 ， 那 么 通常 什么 情况 下 会 架设 Proxy 
呢 ? 一 般 


来 说 ， 代 理 服务 器 的 功能 主要 有 : 
作为 WWW 的 网 页 资料 取得 代理 人 : 这 是 最 主要 的 功能 嘛 ! 


内 部 区 网 的 单 点 对 外 防火 墙 系统 ， 如 图 17.1-1 所 示 一 般 ， 如 果 你 





的 
是 放 在 内 部 区 网 的 Gateway 上 涉 ， 那 么 这 部 代理 服务 器 就 能 够 作 
部 








计算 机 的 防火 墙 了 ! 而 且 还 不 需要 设 定 那 复 杂 的 NAT 功能 呢 ! 只 是 单 
纯 的 Proxy 


， WWW 的 代理 ， 因 此 内 部 计算 机 想 要 取得 smtp, ftp.… 
束 比 较 


膝 烦 ~ 


由 于 Proxy 的 这 种 特性 ， 让 他 很 党 被 使 用 于 大 型 的 企业 内 部 ， 因 为 可 以 
达到 杜绝 


内 部 人 员 上 班 时 使 用 非 WWW 以 外 的 网 络 服 务 ， 而 且 还 可 以 监测 用 户 
的 资料 要 求 流 同 与 


流量 呢 ! 很 不 错 吧 ! 和 人! 好 了 ， 接 下 来 我 们 来 谈 一 谈 当 你 架设 了 





Proxy 后 的 优 缺 点 
吧 。 先 来 谈 谈 主要 可 能 具有 的 优点 有 : 


节省 单 点 对 外 的 网 络 带宽 ， 降 低 网 络 负载 : 当 你 的 Proxy 用 户 很 多 
时 ， 那 


么 Proxy 内 部 的 快 取 数 据 将 会 累积 较 多 。 因 此 客户 端 想 要 取得 网 络 上 的 
数据 时 ， 


， 会 从 Proxy 的 快 取 中 取得 ， 而 不 用 加 因特网 要 求 资料 。 所 以 可 以 
节省 带 


宽 啊 ! 


网 以 较 短 的 路 径 取 得 网 络 数据 ， 有 网 络 加 速 的 感觉 : 例如 你 可 以 指定 你 
J ISP 


0 连接 到 国外 ， 由 于 ISP 提供 的 Proxy 通常 具有 较 大 的 
宽 ， 因 此 在 对 国外 网 站 的 数据 取得 上 ， ”通常 会 比 你 自己 的 主机 联机 到 
国外 要 快 


0 与 上 一 点 的 快 取 数 据 也 有 关系 啊 ! 从 内 部 硬盘 取得 的 路 径 
总 比 玉 


的 因特网 要 短 的 多 啊 ! 


6000 器 的 辅助 ， 达 到 自动 数据 分 流 的 效果 : 例如 图 
17.1-4 


不 ， 0 山 在 不 知 不 学 之 间 ， 就 可 以 得 到 数据 由 不 同 Proxy 取得 的 加 
速效 末 ! 


十 提供 防火 墙 内 部 的 计算 机 连 上 Internet: 就 是 上 面 提 到 的 单 点 对 外 防 





由 于 代理 服务 器 的 这 些 优点 ， 因 此 这 里 要 强烈 的 建议 ， 如 果 你 需要 连 上 
国外 的 网 页 ， 


请 一 定 使 用 ISP 提供 给 你 的 代理 服务 器 来 帮忙 ， 因 为 不 但 可 以 节省 带 
宽 ， 并 且 速 度 上 


会 快 上 很 多 很 多 (例如 美国 环保 晋 , EPA 网 站 )。 不 过 ， 有 利 就 有 次， 当 
然 Proxy 也 


不 是 万 能 的 天 神 一 他 有 什么 可 能 洪 藏 的 缺点 呢 ? 


Em 
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容易 被 内 部 区 网 的 人 员 滥 用 : 我 们 知道 因特网 上 看 到 取得 数据 的 人 是 
Proxy 


那 部 主机 而 个 是 客户 端 计算 机 的 IP， 因 此 可 能 会 让 茶 些 内 部 网 络 使 用 人 
员 开 始 


| proxy 干 坏事 ， 此 时 你 就 会 很 及 烦 一 所 以 ， 为 了 杜绝 这 个 状 
况 ， 强 网 


的 建议 多 加 登录 档案 分 析 的 软件 ， 在 管理 上 面 会 轻松 很 多 喔 ! 


需要 较 高 超 的 设 定 技巧 与 除 错 程序 : 在 乌 哥 设 定 过 的 服务 器 当中 ， 
Proxy 算 


是 比较 不 容易 设 定好 『 效 能 」 的 一 个 服务 器 了 ! 由 于 Proxy 的 Cache 与 
他 的 『 上 


层 代理 服务 如 」 的 关系 是 很 紧密 的 ， ”万 一 设 定 错误 的 话 ， 很 有 可 能 
而 让 你 的 


Proxy 拖 垮 客户 端 WWW 的 浏览 速度 ! 最 严重 的 是 造成 无 法 联机 ! 
可 能 会 取得 旧 的 错误 数据 : 这 个 最 容易 发 生 了 ! 由 于 曾经 浏览 过 的 网 











页 会 被 


放置 到 快 取 ， ”并 提供 后 续 用 户 的 直接 取得 。 万 一 因特网 上 面 的 那个 网 
页 数据 更 


新 过 呢 ? 那 时 你 会 发 现 ， 怎 么 客 忆 器 无 法 看 到 更 新 后 的 资料 ?” ” 整 是 因 
为 快 取 的 








问题 啊 ! 取得 旧 数 据 的 频率 可 能 会 很 高 啊 ! 


总 之 ， Proxy 的 优点 是 很 多 的 ， 但 是 缺点 却 需要 网 管 人 员 的 操心 啊 ! 既 
然 如 此 ， 


那么 我 们 到 底 有 没有 需要 架设 代理 服务 器 呢 ? ”简单 的 说 ， 我 们 可 以 这 
样 分 析 ! 

我 的 Client 端 用 户 不 少 ， 而 且 大 部 分 仅 需要 WWW 这 个 网 络 服务 而 
Es 


我 的 Proxy 还 兼 做 防火 墙 的 任务 ; 


我 的 Client 端 常 音 需 要 联机 到 传输 速度 很 慢 的 网 站 ， 例 如 国外 的 网 
站 ; 

我 的 Client 问 各 第 浏 览 的 网 站 是 『 静 态 」 网 站 ， 而 不 是 动态 网 站 ( 例 
如 讨 

论 区 的 PHP)。 


如 条 你 有 上 上述 的 环境 状况 ， 那 么 是 可 以 考虑 架设 Proxy 的 ， 但是， 相反 


的 来 说 


1l 


要 是 (1) 我 的 Client 端 很 少 ， 所 以 每 次 连 上 WWW 都 是 求 取 新 的 资料 
(并 没有 用 到 快 


9 Proxy 反而 看 不 出 效益 一 此 外 ，(2)Proxy 由 于 属于 应 用 层 
， 六 


Internet 的 规划 上 弹性 较 不 足 ! 不 像 NAT 服务 器 可 以 进行 很 多 的 功能 ! 


(3) 我 常常 上 
的 网 站 是 类 似 讨 论 区 那 种 一 日 多 变 的 网 站 ， ”在 这 样 的 情况 下 ， 实 在 是 


没有 必要 架设 
Proxy 的 ! 


但 是 ， 如 果 对 于 学 校 单 位 那 原 本 币 冤 就 不 足 的 环境 中 ， 染 设 Proxy 来 让 
校内 的 网 


络 速度 提升 ， 呵 呵 ! 就 是 有 那个 必要 性 的 啦 ! 所 以 要 不 要 架设 。 Proxy 
呢 ? 请 好 好 的 依 


据 你 的 环境 来 考虑 喔 ! 但 无 论 如 何 ， 我 们 还 是 要 教 大 家 怎么 染 设 它 束 是 


了 人 信人 

17.2 Proxy 服务 器 的 基础 设 定 

虽然 在 我 们 小 型 的 网 络 环境 中 ， 架 设 Proxy 真 的 没有 什么 用 ， 不 过 ， 考 
家 


虑 到 大 


未 来 可 能 会 高 升 嘛 ! 所 以 企业 常用 的 Proxy 也 需要 了 解 一 下 比较 好 。 在 
这 个 小 节 中 ， 


我 们 主要 介绍 一 个 比较 简单 的 Proxy 环境 ， 就 是 单纯 可 以 跑 而 已 的 代理 
服务 器 。 比 较 


高 阶 的 设 定 请 参考 后 续 小 节 的 介绍 吃 。 
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17.2.1 Proxy 所 需 的 squid 软件 及 其 软件 结构 


达成 代理 服务 器 功能 的 软件 很 多 ， 例 如 效能 不 是 很 好 的 Apache 以 及 我 
们 这 个 章节 


要 介绍 的 八 爪 章鱼 squid 这 一 套 。 目前 代理 服务 器 在 Unix Like 的 环境 
下 ， 大 多 就 


是 使 用 squid ， 因 此 我 们 这 里 以 squid 为 准 来 介绍 啦 。 同 样 的 ， 请 使 用 
rpm 来 检查 ， 


如 果 尚 未 安装 ， 请 用 『 yum install squid 」 来 安装 吧 ! 安装 好 squid 之 
后 ， 它 主要 


的 提供 的 配置 文件 有 : 
/etc/squid/squid.conf 


0 所 有 squid 所 需要 的 设 定 都 是 放置 在 这 个 档案 
省 





鸟 哥 底下 提 到 的 种 种 设 定 方法 几乎 都 是 这 个 档案 里 面 的 说 明 喔 ! 
/etc/squid/mime.conf 


这 个 档案 则 是 在 设 定 squid 所 文 持 的 Internet 上 面 的 文件 格式 ， 就 是 所 


谓 的 


a A ! 一 般 来 说 ， 这 个 档案 的 预 设 内 容 已 经 能 够 符合 我 们 的 需 
玉 了 2 


以 不 需要 更 动 他 ， 除 非 你 很 清楚 的 知道 你 所 需要 额外 文 持 的 mime 文件 


Ts 

其 他 重要 的 目录 与 档案 有 : 
/usr/sbin/squid: 提供 squid 的 主 程序 啊 ! 
/Var/spool/squid: 束 是 默认 的 squid 快 取 放置 的 目录 。 


/usrlib64/squid/: 提供 squid 额外 的 控制 模块 ， 尤 其 是 影响 认证 密码 
7 


面 的 程序 ， 都 是 放 在 这 个 目录 下 的 ; 


17.2.2 CentOS 预 设 的 squid 设 定 

在 预 设 的 情况 下 ，CentOS 的 squid 具有 底下 几 个 特色 : 
仅 有 本 机 (localhost, 127.0.0.1) 来 源 可 以 使 用 这 个 squid 功能 
squid 所 监听 的 Proxy 服务 塌 口 在 port 3128 


快 取 目 录 所 在 的 位 置 在 /var/spool/squid/ ， 且 仅 有 100MB 的 磁盘 高 速 
绥 


存量 


squid 程序 所 需要 的 基本 内 存 之 外 ， 尚 提供 8MB 的 内 存 来 给 热 
门 档案 


快 取 在 内 存 中 (因为 内 存 速 度 比 便 租 还 快 ) 
默认 启动 squid 程序 的 用 户 为 squid 这 个 账号 (与 磁盘 高 速 缓存 目录 权 
限 有 关 ) 


其 实 ， CentOS 预 设 的 squid 设 定 ， 是 仅 针 对 本 机 (localhosb 开放 的 情 
况 ， 而 


一 大 堆 设 定 的 默认 值 ， 都 是 仅 针 对 小 型 网 络 环境 所 指定 的 数值 ， 同 
时 ， 很 多 比较 特殊 
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的 参数 都 没有 启动 。 所 以 ， 我 们 束 得 要 来 了 解 一 下 各 设 定 值 的 意义 ， 
这 样 才 能 够 进行 


修改 嘛 ! 这 些 参数 都 是 在 squid.conf 里 头 指定 的 ， 所 以 ， 就 让 我 们 来 看 


看 这 个 档案 的 

内 容 与 较 重要 的 参数 吧 : 

Tips: 

CentOS 6.x 已 经 将 squid.conf 里 面 不 相干 的 设 定 值 通通 拿 掉 了 ， 

所 以 这 个 档案 就 变 的 非常 的 精简 ! 这 样 其 实 有 好 有 坏 啦 ! 好 处 是 ， 
你 不 用 去 看 一 些 你 用 不 到 的 参数 值 ， 坏 处 是 ， 如 果 你 想 要 其 他 的 设 
定 ， 就 得 额外 参考 外 部 文件 了 ! 伤 脑筋 一 

[root@www ~]# vim /etc/squid/squid.conf 

#1. 信任 用 户 与 目标 控制 ， 透 过 acl 定义 出 localhost 等 相关 用 户 

acl manager proto cache_object <== 定 义 manager 为 管理 功 

能 

acl localhost src 127.0.0.1/32 <== 定 义 localhost 为 本 机 

acl localhost src ::1/128 

acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 <== 定 义 to_localhost 可 
联机 到 本 机 

acl to_localhost dst ::1/128 

# 2. 信任 用 户 与 目标 控制 ， 定 义 可 能 使 用 这 部 proxy 的 外 部 用 户 ( 内 网 ) 


acl localnet src 10.0.0.0/8 <== 可 发 现 底下 都 是 private IP 的 设 定 





acl localnet src 172.16.0.0/12 


acl localnet src 192.168.0.0/16 
acl localnet src fc00::/7 
acl localnet src fe80::/10 
上 述 数 据 设 定 两 个 用 户 (localhost, localnet) 与 一 个 可 取得 目标 
(to_localhost) 
#3. 定义 可 取得 的 数据 端口 口 所 在 ! 


acl SSL_ports port 443 <== 联 机 加 密 的 塌 口 设 定 





acl Safe_ports port 80 # http <== 公 认 标 准 的 协议 使 用 埋 口 

acl Safe_ports port 21 # ftp 

acl Safe_ports port 443 # https 

# 定义 出 SSL_ports 及 标准 的 常用 塌 口 Safe_ports 两 个 名 称 
#4. 定义 这 些 名 称 是 否 可 放行 的 标准 依据 (有 顺序 喔 ! ) 
http_access allow manager localhost <== 放 行 管理 本 机 的 功能 
http_access deny manager <== 其 他 管理 来 源 都 予以 拒绝 
http_access deny !Safe_ports <== 拒 绝 非 正 规 的 埋 口 联机 要 求 


http_access deny CONNECT !SSL_ports <== 拒 绝 非 正规 的 加 密 塌 口 联机 
要 求 


<== 这 个 位 置 为 你 可 以 写 入 目 己 的 规则 的 位 置 喔 ! 不 要 写 错 了 ! 有 顺序 
党 水 的 ! 








net.qiang(Ohotmail.com 


http_access allow localnet <== 放 行内 部 网 络 的 用 户 来 源 


http_access allow localhost <== 放 行 本 机 的 使 用 

http_access deny all <== 全 部 都 予以 拒绝 啦 ! 

# 5. 网 络 相 关 参 数 ， 最 重要 的 是 那个 定义 Proxy 协议 塌 口 的 http_port 
http_port 3128 <==Proxy 预 设 的 监听 客户 端 要求 的 埠 口 ， 是 可 以 改 的 
# 其 实 ， 如 果 想 让 proxy server/client 之 间 的 联机 加 密 ， 可 以 改 用 
https_port (923) 

# 6. 快 取 与 内 存 相关 参数 的 设 定 值 ， 尤 其 注意 内 存 的 计算 方式 
hierarchy_stoplist cgi-bin ? <==hierarchy_stoplist 后 面 的 关键 词 (此 





例 为 cgi-bin) 

# 若 发 现在 客户 端 所 需要 的 网 址 列 ， 

则 不 快 取 (避免 经 常 变动 的 数据 库 或 程序 

讯 奶 ) 

cache_mem 8 MB <== 给 proxy 额外 的 内 存 ， 

用 来 处 理 最 热门 的 快 取 数据 ( 需 

自己 加 ) 

#7. 磁盘 高 速 缓存 ， 亦 即 放置 快 取 数据 的 目录 所 在 与 相关 设 定 
cache_dir ufs /var/spool/squid 100 16 256 <== 预 设 使 用 100MB 的 容量 放 
置 快 取 











coredump_dir /var/spool/squid 


# 底下 的 四 个 参数 得 要 自己 加 上 来 喔 ! 旧版 才 有 这 样 的 默认 值 ! 





minimum_object_size 0 KB <== 小 于 多 少 KB 的 数据 不 要 放 快 取 ，0 为 不 
限制 


maximum_object_size 4096 KB <== 与 上 头 相 反 ， 大 于 4 MB 的 数据 就 不 
快 取 


到 破 盘 


cache_swap_low 90 <== 与 下 一 行 有 关 ， 城 低 到 剩 下 90% 的 磁盘 高 速 组 
存 为 


让 


cache_swap_high 95 <== 当 磁盘 使 用 量 超过 95% 就 开始 删除 磁盘 中 的 旧 
快 


取 
# 8. 其 他 可 能 会 用 到 的 默认 值 ! 参考 参考 即 可 ， 并 不 会 出 现在 配置 文件 
中 。 


access_log /var/log/squid/access.log squid <== 曾 经 使 用 过 squid 的 用 
RR 

ftp_user Squid@ <== 当 以 Proxy 进行 FTP 代理 匿名 登录 时 ， 使 用 的 账号 
名 


称 

ftp_passive on <== 行 有 代理 FTP 服务 ， 使 用 被 动 式 联机 
refresh_pattern ^ftp: 1440 20% 10080 

refresh_pattern ^gopher: 1440 0% 1440 


refresh_pattern -i (/cgi-bin/\?) 0 0% 0 


refresh_pattern . 0 20% 4320 

# 上 上面 这 四 行 与 快 取 的 存在 时 间 有 关 ， 底 下 内 文 会 予以 说 明 
cache_mgr root <== 预 设 的 proxy 管理 员 的 email 
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cache_effective_user squid <== 启 动 squid PID 的 拥有 者 
cache_effective_group squid <== 启 动 squid PID 的 群 组 


# visible_hostname <== 有 时 由 于 DNS 的 问题 ， 找 不 到 主机 名 会 出 错 ， 就 


得 

加 上 此 设 定 

ipcache_size 1024 <== 以 下 三 个 为 指定 卫 进行 快 取 的 设 定 值 
ipcache_low 90 

ipcache_high 95 


光 是 了 解 上 述 的 一 些 基础 设 定 值 ， 可 能 束 要 头 昏 铬 了 ， 更 别 说 
squid.conf 里 面 的 其 他 


设 定 值 ， 看 到 头 好 展 .…… 无 论 如 何 ， 上 述 这 些 设 定 已 经 是 很 基础 的 设 定 
了 ， 你 最 好 了 解 


一 下 ! 除了 cache_dir 那 一 行 取 消 批 注 ， 其 他 的 保持 不 动 ! 让 我 们 以 默 
认 值 来 直接 局 


动 squid 看 看 有 什么 特别 的 地 方 再 说 。 











使 用 默认 值 来 启动 squid 并 观察 相关 信息 
要 局 动 squid 真是 简单 ， 让 我 们 来 局 动 squid 并 且 观 察 有 没有 相关 的 埋 











口 吧 ! 

[root@www ~]# /etc/init.d/squid start 

init_cache_dir /var/spool/squid... 正在 激活 squid: . [ 确 
定 ] 


# 第 一 次 局 动 会 初始 化 快 取 目 录 ， 因 此 会 出 现 上 述 左边 的 数据 ， 未 来 这 


“记忆 

不 会 再 出 现 

[root@www ~]# netstat -tulnp | grep squid 

Proto Recv-Q Send-Q Local Address Foreign Address State 
PID/Program name 

tcp 0 0 :::3128 :::* LISTEN 

2370/(squid) 

udp 0 0 :::45470 :::* 

2370/(squid) 

[root@www ~]# chkconfig squid on 


如 果 你 有 设 定 icp_port 时 ，squid 预 设 会 启动 3128 及 3130 两 个 埋 口 ， 
其 中 要 注意 


的 是 ， 实际 帮 用 户 进行 监听 与 传送 数据 的 是 port 3128 (TCP)，3130 
(UDP) 仅 是 负责 


与 邻近 Proxy 互相 沟通 彼此 的 快 取 数据 库 的 功能 ， 与 实际 的 用 户 要 求 无 
关 。 因 此 ， 如 


果 你 的 proxy 是 单纯 的 单一 主机 ， 或 者 是 单纯 的 作为 防火 墙 功 能 ， 那 么 





这 个 port 3130 


是 可 以 关闭 的 。 就 因 如 此 ， 所 以 CentOS 6.x 预 设 将 这 个 设 定 值 批注 不 使 
用 哆 ! 


例题 : 


由 于 我 的 Proxy 仅 是 部 简单 的 单一 代理 服务 器 ， 并 没有 架设 成 为 公开 的 
邻近 代 


理 服务 器 (peer proxy 或 neighbor proxy)， 因 此 想 要 关闭 port 3130 ， 访 
如 何 





net.giang(@hotmail.com 


处 理 ? 


似 : 


Er 


旧版 的 CentOS 5.x 以 前 的 版 本 才 需 要 进行 ， 很 简单 ， 直 接 修改 icp_port 
BB] 


可 ! 方法 为 : 





[root@www ~]# vim /etc/squid/squid.conf 

#Default: VBird 2011/04/06 modified， 将 下 列 数据 从 3130 改 为 0 即 可 
icp_port 0 

[root@www ~|]# /etc/init.d/squid restart 


| 如 果 你 的 客户 端 与 proxy 之 间 的 沟通 想 要 使 用 加 密 机 制 的 SSL 
功能 ， 以 


保障 客户 端的 信息 避免 被 鳃 取 时 ， ”那么 还 有 个 https_port 可 以 取代 
http_port ! 不 


过 ， 充 其 量 我 们 的 proxy 并 非 公开 也 仅 是 架设 在 内 部 区 网 ， 因此 还 不 需 





要 使 用 到 这 个 


https_port 只! 





观察 与 修改 快 取 目 录 (cache_dir): 权限 与 SELinux 
从 前 面 的 说 明 我 们 知道 磁盘 高 速 缓存 是 影响 proxy 效能 的 一 个 相当 重要 








AL 


那么 squid 是 如 何 将 快 取 存 进 磁盘 的 呢 ? squid 是 将 数据 分 成 一 小 块 一 
小 块 ， 然 后 分 


别 放置 到 个 别 的 目录 中 。 由 于 较 多 的 目录 可 以 节省 在 同一 个 目录 内 找 好 
多 档案 的 时 间 


( 想 一 想 ， 分 门 别 类 的 放置 书籍 在 不 同 的 书柜 内 ， 总 比 将 所 有 书籍 杂乱 
无 章 的 放置 到 一 


个 大 书柜 要 好 的 多 吧 ! )， 因此 ， 在 默认 的 /var/spool/squid/ 目录 下 ， 


squid 又 会 


将 它 分 成 两 层 子 目录 来 存放 相关 的 快 取 数 据 ， 所 以 观察 该 目录 吏 会 是 : 








[root@www ~]# 1s /var/spool/squid 

00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D OE OF 
swap.state 

# 算 一 下 ， 

你 会 及 现 共 有 16 个 子 目录 ! 

那么 我 们 来 看 看 第 一 个 子 目 录 的 内 容 : 


[root@www ~]# 1s /var/spool/squid/00 


00 08 10 18 20 28 ... 98 A0 A8 B0 B8 C0 C8 D0 D8 E0 
E8 FOF8 

01 09 11 19 21 29... 99 A1l A9 Bl1 B9 C1 C9 D1 D9 El1 
E9 F1 F9 

.…( 中 间 省 略 )…. 

06 OF 16 1E 26 2E... 9E A6 AE B6 BE C6 CE D6 DE E6 
EE F6 FE 

07 OF 17 1F 27 2F ... 9F A7 AF BY7 BF C7 CF DY DF E7 
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EF F7 FF 

# 看 见 了 吗 ? 总 共有 256 个 子 目录 出 现 哆 ! 


现在 我 们 知道 了 较 多 的 目录 是 为 了 将 数据 分 门 别 类 放置 ， 但 是 第 一 层 
16 个 与 第 二 层 


256 个 是 怎么 来 的 ? 让 我 们 来 瞧 一 瞧 cache_dir 这 个 重要 参数 的 设 定 是 
怎样 : 


cache_dir ufs /var/spool/squid 100 16 256 











在 /var/spool/squid/ 后 面 的 参数 意义 是 : 
第 一 个 100 代表 的 是 磁盘 使 用 量 仅 用 掉 该 文件 系统 的 100MB 
第 二 个 16 代表 第 一 层次 目录 共有 16 个 
第 三 个 256 代表 每 层次 目录 内 部 再 分 为 256 个 次 目录 


根据 squid 的 说 法 与 其 他 文献 的 说 明 ， 这 两 层 快 取 目 录 较 佳 的 配置 就 是 























16 256 
以 及 64 64 这 两 种 配置 ， 所 以 我 们 也 不 需要 修改 相关 的 数据 啦 ! 重点 时 


还 得 要 注意 这 
个 目录 的 档案 拥有 者 与 SELinux 类 型 才 成 哟 ! 
例题 : 


proxy 的 磁盘 高 速 缓存 应 该 是 不 够 用 ， 而 之 前 的 磁盘 规划 
义 没 


做 好 ， 因 此 /var/ 最 多 还 有 500MB 可 以 让 我 们 做 为 磁盘 高 速 缓存 。 那 么 
如 果 想 要 


将 预 设 的 磁盘 高 速 缓存 改 为 500MB 而 且 再 加 上 /srv/squid/ 目录 给 予 
2GB 的 容 


做 为 磁盘 高 速 缓存 ， 该 如 何 进行 设 定 ? 











= 
里 . 
伏 
全 ] 


这 里 都 与 cache_dir 有 关 ! 这 个 设 定 值 可 以 重复 出 现 多 次 ! 因此 ， 我 们 
可 以 这 


样 进行 的 ， 特 别 注意 底 下 的 目录 权限 与 SELinux 类 型 哟 ! 








[root@www ~]# vim /etc/squid/squid.conf 

#Default: VBird 2011/04/06 modified， 底 下 的 设 定 除了 拿 掉 # 之 外 还 得 修 
取 : 

cache_dir ufs /var/spool/squid 500 16 256 

cache_dir ufs /srv/squid 2000 16 256 


[root@www ~]# mkdir /srv/squid 


[root@www ~]# chmod 750 /srv/squid 

[root@www ~]# chown squid:squid /srv/squid 

[root@www ~]# chcon --reference /var/spool/squid /srv/squid 
[root@www ~]#1 -Zd /srv/squid 

drwxr-x---. squid squid system_u:object_r:squid_cache t:s0 
/srv/squid/ 

[root@www ~|]# /etc/init.d/squid restart 


之 所 以 要 改 成 squid 拥有 ， 是 因为 上 头 的 squid.conf 中 ， 预 设 的 启动 
PID 的 账 
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号 束 是 squid 这 个 人 物 呆 ! 所 以 当然 要 变更 ! 至 于 SELinux 的 类 型 方 
面 ， 参 考 预 


设 的 /var/spool/squid 就 能 够 知道 了 。 不 过 要 注意 ， 某 些 特定 的 目录 ( 例 
如 


/home) ， 是 不 允许 建立 快 取 目 录 的 ， 因 此 我 们 使 用 服务 数据 可 以 放置 的 
/srv 作为 测 


试 范 例 吃 ! 


想 一 想 ， 既 然 快 取 是 放 在 磁盘 上 面 的， 那么 快 取 的 数据 会 不 会 塞 满 整 个 
快 取 磁 盘 呢 ? 


当然 会 啊 ! 而 且 当 塞 满 磁盘 之 后 ， 你 的 proxy 翁 怕 束 无 法 继续 运作 了 了 ! 
所 以 ， 我 们 当 


然 得 要 好 好 的 注意 磁盘 使 用 量 是 个 已 经 饱和 了 。 在 上 述 的 例题 中 ， 寿 


/Var/spool/squid 塞 满 500MB 而 /srv/squid 塞 满 2GB 那么 你 的 proxy 就 挂 











本 二 

了 避免 这 个 问题 ， 因 此 squid 有 底下 两 个 重要 设 定 : 
cache_swap_low 90 
cache_swap_high 95 


代表 当 破 盘 使 用 量 达 95% 时 ， 比 较 旧 的 快 取 数 据 将 会 被 删除 ， 当 删除 
到 剩 下 磁盘 


使 用 量 达 90% 时 ， 丈 集 止 持续 删除 的 动作 。 以 本 案例 中 ， 总 共 2.5GB 
的 容量 ， 当 用 


到 2.5*0.95=2.375G 时 ， 旧 的 数据 会 开始 被 删除 ， 删 到 剩 下 
2.5*0.9=2.25GB 时 ， 就 


停止 删除 的 意思 。 所 以 会 被 删除 掉 125MB 的 旧 数 据 就 是 了 。 通 常 这 个 
设 定 值 已 经 足够 


不 需要 变动 他 ， ”除了 你 的 快 取 太 大 或 太 小 时 ， 才 会 调整 这 个 设 定 








squid 使 用 的 内 存 计算 方式 


事实 上 ， 除 了 磁盘 容量 之 外 ， 内 存 可 能 是 为 一 个 相当 重要 的 影响 proxy 
效能 的 因 

子 ! 怎么 说 呢 ? 因为 proxy 会 将 数据 存 一 份 在 磁盘 高 速 缓存 中 ， 但 是 同 
时 也 会 将 数据 

暂 存 在 内 存 当中 啊 ， 以 加 快 未 来 使 用 者 存 取 同一 份 数 据 的 速度 ! ”但 是 
这 个 内 存 快 取 是 


再 要 花费 额外 的 服务 器 物理 内 存 的 量 ， 所 以 就 得 要 以 额外 的 设 定 值 来 指 
定 嗓 。 那 就 是 


cache_mem 这 个 设 定 值 的 功能 


很 多 人 (包括 鸟 哥 ) 都 会 误会 cache_mem 的 用 途 ! 其 实 cache_mem 是 额 
外 的 指定 


一 些 内 存 来 进行 比较 『 热 门 上 的 数据 存 取 ! cache_mem 并 不 是 指 我 要 
使 用 多 少 内 存 给 


squid 使 用 ， 而 是 指 "我 还 要 额外 提供 多 少 内 存 给 squid 使 用 ”的 意 
思 」! 由 于 预 设 


1GB 的 磁盘 高 速 缓存 会 占用 约 10M 的 内 存 ， 而 squid 本 身 也 会 占用 约 
15MB 的 内 存 ， 


因此 ， 上 个 例题 中 squid 使 用 掉 的 内 存 就 有 : 
2.5* 10 + 15 + "cache_mem 设 定 值 (8)" 


squid 官方 网 站 建议 你 的 物理 内 存 最 好 是 上 面 数值 的 两 倍 ， 也 就 是 说 ， 
上 述 的 内 存 


使 用 量 已 经 是 48MB， 则 我 的 物理 内 存 最 好 至 少 要 有 100 MB 以 上 ， 才 
会 有 比较 好 的 效 


能 ! 当然 ， 这 个 单 指 Proxy 部 分 而 已 ， 如 果 你 的 该 部 主机 还 有 负责 其 他 
的 工作 ， 呵 呵 ! 
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0 


那么 内 存 束 得 在 累加 上 去 啦 ! 一 般 来 说 ， 如 果 你 的 ”Proxy 很 多 人 使 用 
时 ， 这 个 值 越 大 


越 好 ， 但 是 最 好 也 要 符合 上 面 的 需求 喔 ! 
例题 : 


由 于 我 的 内 存 够 大 ， 而 proxy 确实 是 我 重要 的 服务 ， 因 此 想 要 增加 额外 








的 32MB 
作为 热门 数据 快 取 ， 该 如 何 修 改 ? 


2 

直接 做 了 啦 ! 就 是 修改 cache_ mem 而 已 ! 

[root@www ~]# vim /etc/squid/squid.conf 

#Default: VBird 2011/04/06 modified， 将 原本 的 8 改 为 32 嘿 ! 
cache mem 32 MB 


[root@www ~]# /etc/init.d/squid restart 





17.2.3 管控 信任 来 源 (如 区 网 ) 与 目标 (如 恶意 网 站 ): acl 与 http_access 
的 使 用 


在 上 面 的 基础 设 定 中 ， 其 实 仅 有 proxy 服务 器 本 映 可 以 同上 自己 的 proxy 
要 求 网 页 


代理 一 那 有 个 屁 用 啊 ? 我 们 的 重点 是 想 要 开放 给 区 网 来 使 用 这 个 proxy 
的 嘛 ! 所 以 当 


然 得 要 修改 信任 用 户 的 管控 参数 嘿 。 此 时 ， 那 个 重要 到 不 行 的 acl 就 得 
要 来 具 一 瞪 啦 ! 


这 个 acl 的 基本 语法 为 : 
acl < 目 定义 的 ad 名 称 > < 要 控制 的 acl 类 型 > < 设 定 的 内 容 > 


由 于 squid 并 不 会 直接 使 用 IP 或 网 域 来 管控 信任 目标 ， 而 是 透 过 acl 名 
称 来 管理 ， 


这 个 <acl 名 称 > 就 必须 要 设 定 管理 的 是 来 源 还 是 目标 (acl 类 型 ) ， 以 及 
实际 的 IP 














或 网 域 ( 设 定 的 内 容 ) 啦 ! 这 个 acl 名 称 可 以 想 成 是 一 个 昵称 就 是 了 。 那 
么 有 哪些 重 


要 的 acl 类 型 呢 ? 基本 上 有 这 些 : 














管理 是 否 能 使 用 proxy 的 信任 客户 端 方式 : 


由 于 因特网 主要 有 使 用 IP 或 主机 名 来 作为 联机 方式 的 ， 因 此 信任 用 户 
的 来 源 至 少 


就 有 确 下 几 种 : 





src ip-address/netmask: 
主要 控制 『 来 源 的 卫 地 址 上 。 举 例 来 说 ， 乌 哥 的 内 网 有 两 个 ， 分 别 是 
192.168.1.0/24 以 及 192.168.100.0/24 ， 那么 假设 我 想 要 制订 一 个 
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vbirdlan 的 acl 名 称 ， 那 残 可 以 在 配置 文件 内 写成 : 
acl vbirdlan src 192.168.1.0/24 192.168.100.0/24 

src addr1-addr2metmask: 
主要 控制 『 一 段 范 围 来 源 的 IP 地 址 」。 假 设 我 只 想 要 让 
192.168.1.100-192.168.1.200 使 用 这 部 proxy ， 那 么 就 用 : 
acl vbirdlan2 src 192.168.1.100-192.168.1.200/24 


srcdomain .domain.name: 


| IP 一 直 变 ， 所 以 使 用 的 是 DDNS 的 方式 来 更 新 主机 名 
与 IP 对 


对 应 ， 此 时 我 们 可 以 使 用 主机 名 来 开放 ! 例如 来 源 是 .ksu.edu.tw 的 来 
源 用 户 


就 开放 使 用 权 ， 那 就 是 : 


acl vbirdksu srcdomain .ksu.edu.tw 


管理 是 否 让 proxy 帮忙 代理 到 该 目标 去 获取 数据 : 


除了 管理 来 源 用 户 之 外 ， 我 们 还 能 够 管理 是 否 让 proxy 服务 器 到 某 些 目 
标 去 获取 


数据 喔 ! 在 预 设 的 设 定 中 ， 我 们 的 proxy 仅 管 理 可 以 向 外 取得 port 21， 
80, 440.… 


等 端口 口 的 目标 网 站 ， 不 是 这 些 端口 口 就 无 法 帮忙 代理 取得 。 至 于 IP 
或 网 域 则 没有 


管理 。 基 本 的 管理 有 这 些 方式 : 
dst ip-addr/netmask: 
控制 不 能 去 的 目标 网 站 的 IP ， 举 例 来 说 ， 我 们 不 许 proxy 去 提取 
120.114.150.21 这 部 主机 的 IP 时 ， 可 以 写成 是 : 
acl dropip dst 120.114.150.21/32 


dstdomain .domain.name: 


控制 不 能 去 的 目标 网 站 的 主机 名 。 举 例 来 说 ， 如 果 你 在 上 课时 不 允许 学 
生 跑 去 种 


田 还 是 小 小 战争 ， 那 就 得 要 把 .facebook.com 给 关闭 ! 那 就 需要 写成 : 


acl dropfb dstdomain .facebook.com 


Url_regex [-i] ^http://url: 


使 用 正规 表示 法 来 处 理 网 址 列 的 一 种 方式 ! 这 种 方式 的 网 址 列 必须 要 完 
整 的 输入 


0 民 才 行 。 “举例 来 说 ， 昆 山 科 大 的 中 文 网 页 写法 
为 人 


部 分 比 对 ， 所 以 最 结尾 的 .* 记得 要 加 上 去 ! ): 








acl ksuurl url_regex ^http:/www.ksu.edu.tw/cht/.* 
urlpath_regex [-i] \.gif$: 

与 上 一 六 adl 非常 类 似 ， 只 是 上 一 个 需要 填写 完整 的 网 址 数据 ， 这 里 则 
是 根据 





网 址 列 的 部 分 比 对 来 处 置 。 以 上 述 的 预 设 案例 来 说 ， ”只 要 网 址 列 结尾 
是 gif (图 


片 文件 ) 就 符合 这 个 项 目 了 。 万 一 我 要 找 出 有 问题 的 色情 网 站 ， 有 出 现 
/sexy 名 


称 并 以 jpg 结尾 的 ， 就 予以 抵挡 ， 那 就 是 使 用 : 
acl sexurl urlpath_regex /sexy.*\.jpg$ 
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除了 上 述 的 功能 之 外 ， 我 们 还 能 够 使 用 外 部 的 档案 来 提供 相对 应 的 acl 
内 容 设 定 


值 喔 ! ”举例 来 说 ， 假 设 我 们 想 要 抵挡 的 外 部 主机 名 常常 会 变动 ， 那 么 
我 们 可 以 使 用 


/etc/squid/dropdomain.txt 来 设 定 主机 名 ， 然后 透 过 底下 的 方式 来 处 理 


acl dropdomain dstdomain "/etc/squid/dropdomain.txt"” 


然后 在 dropdomain.txt 当中 ， 一 行 一 个 待 管理 的 主机 名 ， 这 样 也 能 够 减 
少 持续 修 


改 squid.conf 的 困扰 ! ”好 了 ! 了 解 了 acl 之 后 ， 接 下 来 得 要 谈 谈 
http_access 这 


个 实际 放行 或 拒绝 的 参数 了 ! 














以 http_access 调整 管理 信任 来 源 与 管控 目标 的 『 顺 序 」: 
设 定好 acl 之 后 ， 接 下 来 就 是 要 看 看 到 底 要 不 要 放行 喔 一 放行 与 售 跟 


http_access 这 个 项 目 有 关 。 基 本 上 ， http_access 就 是 拒绝 (deny) 与 允许 
(allow) 


两 个 控件 目 ， 然 后 再 加 上 acl 名 称 就 能 够 达到 这 样 的 功能 了 ! 只 是 你 得 
要 特别 注意 的 


是 : http_access 后 面 接 的 数据 ， 是 有 顺序 的 ! 这 个 观念 很 重要 喔 ! 我 们 
用 底下 的 案 


例 来 说 明 好 了 : 


假设 我 要 放行 内 部 网 络 192.168.1.0/24, 192.168.100.0/24 这 两 段 网 域 ， 然 
后 拒 


绝对 外 的 色情 相关 图 片 ， 以 及 facebook.com 网 站 ， 那 么 就 应 该 要 这 样 
做 : 


[root@www ~]# vim /etc/squid/squid.conf 


0 是 有 顺序 的 ， 因 此 建议 你 找到 搬 下 这 个 关键 词 行 后 ， 将 你 
J 资 


料 加 在 后 面 


# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM 























YOUR CLIENTS 

acl vbirdlan src 192.168.1.0/24 192.168.100.0/24 

acl dropdomain dstdomain .facebook.com 

acl dropsex urlpath regex /Sexy.#jpg$ 

http_access deny dropdomain <== 这 三 行 的 『 顺 序 」 很 重要 ! 
http_access deny dropsex 

http_access allow vbirdlan 

[root@www ~|]# /etc/init.d/squid restart 


你 得 要 注意 ， 如 果 先 放行 了 vbirdlan 才 抵 挡 dropdomain 时 ， 你 的 设 定 可 
能 会 失败 ! 


因为 内 网 已 经 先 放行 ， 因此 后 面 的 规则 不 会 比 对 ， 那 么 facebook.com 
束 无 法 被 抵挡 


了 ! 这 点 得 要 很 注意 才 行 ! 通常 的 作法 是 ， 先 将 要 拒绝 的 写 上 去 ， 然 
后 才 写 要 放行 的 


数据 束 好 了 。 
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17.2.4 其 他 额外 的 功能 项 目 


不 要 进行 某 些 网 页 的 快 取 动 作 
从 前 面 的 说 明 我 们 知道 Proxy 的 快 取 通 第 在 记录 比较 少 变动 的 数据 ， 如 


果 是 讨论 











区 或 者 是 程控 类 的 数据 库 型 态 网 页 ，。” 那么 恐怕 就 没有 快 取 的 需要 ， 因 
为 数据 一 直 变 动 


嘛 ! 你 总 不 希望 你 发 了 一 帖 留言 ， 结 果 等 一 下 再 去 浏览 时 ， 看 到 的 还 是 
旧 留 言 吧 ! 所 


以 哆 ， 在 预 设 的 情况 下 ，squid 已 经 拒绝 某 些 数据 的 快 取 了 ， 那 就 是 底 
下 的 几 个 设 定 值 : 


acl QUERY urlpath_regex cgi-bin \? 


cache deny QUERY <== 重 点 就 是 这 一 行 ! 可 以 拒绝 ， 不 要 让 后 面 的 
URL 被 快 


取 ! 


我 们 知道 通 第 .php 结尾 的 网 页 大 部 分 就 是 讨论 区 之 类 的 变动 性 数据 ， 
那么 能 不 能 


现 .php 结尾 的 网 页 就 不 要 快 取 呢 ? 当然 可 以 啊 ! 那 该 如 何 进行 ? 我 们 
以 上 面 的 数据 


来 照样 造句 一 下 吧 ! 

例题 : 

只 要 网 址 列 出 现 .php 结尾 的 ， 就 不 予以 快 取 ! 
答 ， 


FE 六: 


透 过 acl 配合 cache 这 两 个 参数 来 处 理 即 可 ! 





[root@www ~]# vim /etc/squid/squid.conf 
acl denyphp urlpath_regex \.php$ 

cache deny denyphp 

# 在 此 档 采 的 最 后 新 增 这 两 行 即 可 ! 


[root@www ~]# /etc/init.d/squid restart 


磁盘 中 快 取 的 存在 时 间 

还 记得 底下 的 设 定 值 吗 ? 这 个 设 定 值 的 参数 是 这 样 设 定 的 : 
# refresh_pattern <regex> < 最 小 时 间 > < 百分比 > < 最 大 时 间 > 
refresh_pattern ^ftp: 1440 20% 10080 
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refresh_pattern ^gopher: 1440 0% 1440 

refresh_pattern -i (/cgi-bin 小 ?) 0 0% 0 

refresh_pattern . 0 20% 4320 


regex: 使 用 的 是 正规 表示 法 来 分 析 网 址 列 的 资料 ， 如 上 面 第 一 行 设 
定 为 网 址 列 


开头 是 ftp 的 意思 。 


最 小 时 间 : 单位 是 分 钟 ， 当 取得 这 个 数据 的 时 间 超 过 这 个 设 定 值 ， 则 
该 数据 
会 被 判定 为 旧 资 料 。 如 上 面 第 一 行 ， 表示 当 取 得 的 资料 超过 1440 分 钟 
时 ， 该 


资料 会 被 判定 为 旧 数 据 ， 奉 有 人 尝试 读 取 同 样 的 网 址 列 ， 那 么 squid 会 
重新 抓 


取 该 数据 ， 不 会 使 用 快 取 内 的 旧 数 据 。 至 于 第 三 行 ， 则 表示 除了 上 述 的 
两 个 开头 


、， 其 他 的 数据 都 是 被 定义 为 新 的 ， 因此 squid 只 会 从 快 取 内 抓 数 
据 给 








户 端 。 


百分比 ， 这 个 项 目 与 『 最 大 时 间 」 有 关 ， 当 该 资料 被 抓 取 到 快 取 后 ， 


大 时 间 的 多 少 百分比 时 ， 该 数据 就 会 被 重 抓 。 


I 
间 。 如 上 


面 第 一 行 ， 最 大 时 间 为 10080 分 钟 ， 但 是 当 超 过 此 时 间 的 20% (2016 分 
钟 ) 时 ， 


这 个 数据 也 会 被 判定 为 旧 资 料 。 
例题 : 


在 网 址 列 出 现 .vbird. 字样 时 ， 该 数据 为 暂时 使 用 的 ， 因 此 2 小 时 后 就 算 
旧 


数据 。 而 最 长 保留 在 快 取 给 她 一 天 的 时 间 ， 且 经 过 50% 的 时 间 后 ， 就 
被 判定 为 旧 数 


据 吧 ! 


似 : 


FI 。 











[root@www ~]# vim /etc/squid/squid.conf 
refresh_pattern ^ftp: 1440 20% 10080 
refresh_pattern ^gopher: 1440 0% 1440 
refresh_pattern -i (/cgi-bin/\?) 0 0% 0 
refresh_pattern \.vbird\. 120 50% 1440 


refresh_pattern . 0 20% 4320 


[root@www ~]# /etc/init.d/squid restart 


主机 名 与 管理 员 的 email 指定 


如 果 你 的 服务 器 主机 名 尚未 决定 ， 因 此 使 用 的 主机 名 在 因特网 上 面 是 找 
不 到 对 应 的 


IP 的 (因为 DNS 未 设 定 )， 那么 在 预 设 的 squid 设 定 中 ， 禹 怕 会 无 法 顺 
利 的 启动 。 
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此 时 你 可 以 手动 的 加 入 一 个 主机 名 ， 束 是 透 过 visible_hostname 来 指 
定 。 同时 ， 如 


果 客 户 病 使 用 squid 出 现任 何 错误 时 ， 屏 幕 上 都 会 出 现 管理 员 的 email 
让 用 户 可 以 回 


报 。 现 在 假设 主机 名 为 www.centos.vbird 且 管 理 员 的 email 为 


dmtsai@www.centos.vbird ， 此 时 我 们 可 以 这 样 修 改 : 





[root@www ~]# vim /etc/squid/squid.conf 

cache_mgr dmtsai@www.centos.vbird <== 管 理 员 的 email 味 ! 
visible_hostname www.centos.vbird <== 直 接 设 定 主机 名 喔 ! 
[root@www ~]# /etc/init.d/squid restart 


17.2.5 安全 性 设 定 : 防火 墙 , SELinux 与 黑 名单 档 案 





防火 墙 得 要 放行 tcp 的 port 3128 


现在 我 们 已 经 设 定 了 让 192.168.100.0/24 及 192.168.1.0/24 这 两 段 来 源 使 
用 

我 们 的 proxy server ， 那么 想当然 尔 ， 防 火 墙 的 设 定 束 得 要 开放 这 两 段 
使 用 port 

3128 才 行 啊 ! 不 过 你 得 要 特别 注意 ， 并 不 是 开放 防火 墙 就 能 使 用 proxy 


server 的 资 


源 ， 还 得 要 使 用 acl 配合 http_access 才 行 哟 ! 注意 注意 ! 假设 你 已 经 使 
用 了 


iptables.rule ， 那么 修改 的 方法 就 是 这 样 : 

[root@www ~]# vim /usr/local/virus/iptables/iptables.allow 

iptables -A INPUT -i $SEXTIF -p tcp -s 192.168.1.0/24 --dport 3128 -j 
ACCEPT 


# 因为 内 网 192.168.100.0/24 本 来 就 是 全 部 都 接受 放行 的 ! 





[root@Owww~#Asrvlocal/virus/iptables/iptables.rule 


SELinux 的 注意 事项 


针对 proxy 来 说 ，CentOS 6.x 倒是 没有 给 予 太 多 的 规则 限制 ， 因 此 似乎 
不 太 需 要 


ee 不 过 ，SELinux 的 安全 本 文 在 类 型 部 分 得 注意 。 这 包括 配置 
文 

(/etc/squid/ 内 的 数据 ) 类 型 是 squid_conf t 的 样式 ， 而 快 取 目 录 的 类 型 
则 是 


squid_cache t 的 类 型 ， 且 上 层 类 型 /var/spool/) 应 该 是 要 成 为 var t 之 类 
的 才 行 











修改 的 方法 就 是 透 过 chcon 来 处 理 即 可 。 


net.qiang(Ohotmail.com 


建立 黑 名 单 配 置 文件 


我 们 在 .17.2.3 小 节 里 面谈 到 ， 可 以 透 过 『 dstdomain .domain.name 」 来 
抵挡 不 


想 联机 的 网 站 。 不 过 每 次 都 得 使 用 root 身份 来 设 定 squid.conf 才 行 。 那 
有 没有 办 


法 额外 处 理 出 一 个 档案 ， 让 想 要 拒绝 联机 的 数据 写 入 ， ”这 样 比较 容易 


管理 ， 不 需要 一 


直 去 修改 squid.conf 呆 ! 有 没有 办 法 可 以 达成 呢 ? 有 的 ， 就 透 过 特定 档 
案 来 处 置 即 可 。 


看 看 底下 这 个 例题 来 修订 一 下 吧 : 
例题 : 


建立 一 个 名 为 /etc/squid/dropdomain.txt 的 档案 ， 内 容 为 拒绝 联机 的 目标 
网 


站 。 


A 和 5 。 
已 








我 们 之 前 设 定 过 相关 的 网 站 ， 处 理 的 方法 是 直接 将 主机 名 写 入 
squid.conf 中 ， 


现在 我 们 可 以 这 样 修 订 : 





[root@www ~]# vim /etc/squid/squid.conf 


# 找到 底下 的 数据 ， 就 是 dropdomain 那 行 ， 约 在 629 行 左 右 ， 并 且 修 改 


下 


acl dropdomain dstdomain "/etc/squid/dropdomain.txt" 


如 果 是 档 名 ， 请 写 绝对 路 径 ， 且 使 用 双 引 号 或 单 引 号 圈 起 
来 ! 


[root@www ~]# vim /etc/squid/dropdomain.txt 
.facebook.com 

.yahoo.com 

# 一行 一 个 domain 名 称 即 可 

[root@www ~]# /etc/init.d/squid reload 


这 个 方法 的 好 处 是 ， 你 可 以 使 用 额外 的 控制 方式 去 修改 
/etc/squid/dropdomain.txt 


这 个 档案 的 内 容 ， 并 且 修 改 完毕 后 再 使 用 reload 去 加 载 配置 文件 ， 不 
必要 重新 局 动 


(restart)， 因 为 reload 的 速度 比较 快速 。 举例 来 说 ， 马 哥 的 专题 生 就 用 
PHP 写 了 


一 支 控制 该 档案 的 网 页 接口 ， 可 以 让 老师 在 上 课时 直接 透 过 网 页 输入 要 
被 控制 的 目标 网 


站 ， 这 样 学 生 就 无 法 在 上 谍 时 联机 到 外 面 的 茶 些 网 站 去 玩 游 戏 哆 一 
17.3 客户 端的 使 用 与 测试 


既然 proxy 是 给 浏览 占用 的 ， 那 么 目 然 在 浏览 占 上 面 就 需要 设 定 一 些 参 
数 哆 ! 那 











nn 所 以 
底下 我 们 介 


， 分 别 是 frefox 以 及 下 的 设 定 ， 至 于 其 他 
4 浏览 


参考 各 浏览 器 的 相关 说 明 啊 ! 
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17.3.1 浏览 器 的 设 定 : firefox & IE 


firefox 5.x 的 设 定 示意 


在 firefox 5.X 上 面 设 定好 proxy 基本 步骤 是 这 样 的 ;首先 打开 firefox 
人 


件 ， 出 现 如 下 的 图 标 后 ， 点 选 : 『 工 具 」 内 的 『 选 项 | ， ”示意 画面 如 
DIT: 


图 17.3-1、 在 firefox 上 头 设 定 proxy 的 流程 
然后 在 出 现 的 如 下 画面 中 ， 先 选择 右上 方 的 『 进 阶 」 项 目 ， 然 后 点 选 


『 网 络 」 页 面 ， 
最 后 再 点 选 联机 的 『 设 定 」 按钮 ， 如 下 图 所 示 ， 依 序 来 动作 : 
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内 容 


谭 用 程式 。 个 人 隐私 





日 由 ||f 呈 Hr 二 所 人 Z| rp Earsea 
po lb sb] | MEHYyelel 











图 17.3-2、 在 firefox 上 头 设 定 proxy 的 流程 


此 时 就 会 出 现 如 下 图 所 示 的 要 你 输入 代理 服务 器 的 相关 数据 。 请 先 点 选 
[手动 设 定 ] 


人 能 够 填写 底下 的 方 格 。 填 上 我 们 服务 器 的 IP ( 乌 哥 的 案例 中 ， 使 
是 


192.168.1.100 这 一 部 ) 以 及 埋 口 ， 然 后 鸟 哥 建 议 你 也 可 以 勾 选 『 所 有 通 
讯 协议 都 用 此 





proxy 」 的 项 目 ， 都 设 定 妥当 后 ， 才 按 下 确定 。 如 下 图 所 示 的 流程 : 
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localhost, 127.0.0.1 








图 17.3-3、 在 firefox 上 头 设 定 proxy 的 流程 
这 样 就 设 定好 firefox 的 proxy 相关 数据 了 ， 有 够 简单 吧 ! 


IE 的 设 定 示意 


那么 IE 要 怎么 设 定 呢 ?也 是 很 简单 啦 ! 首先 ， 打 开 IE 软件 ， 你 会 看 到 
如 下 的 示 


意图 ， 点 选 【工具 上 内 的 『 因 特 网 选项 】 ， 流程 如 下 所 示 : 
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空白 页 - indows Internet Explorer 


KI EY 加 about:blank | 全 | [x Ry Live Search | 
删除 渤 贤 用 程 记 儿 DD)..… Ctrl+ShitttDel 
InPrivate 浏 竖 必 CtrltShitt+tP 
重新 并 性 上 次 的 浏览 工作 障 段 好 
InPrivate 饰 选 Ctrl+ShitttF 
InPrivate 饰 选 讼 定 仿 ) 
快 旺 封 填 程 式 全 ) 
Smartscreen 饰 选 (T) 


管理 附加 元 件 包 ) 


相 容 性 梳 现 七 
相 容 性 检视 设 定名 ) 


训 半 此 摘要 号。 
摘 才 排 床 [到 
Windows Update(U) 


开 改 者 工具 必 ) 


Windows hlessenger 
诊断 连 牧 问 题 .… 


| 移 际 机 膨 入 项 ) 





图 17.3-4、 在 正 上 头 设 定 proxy 的 流程 


在 接 下 来 的 窗口 中 ， 点 选 『 联 机 4 的 页 面 ， 然 后 按 下 『 局 域 网 络 设 定 ] 
的 按钮 。 流 


程 如 下 所 示 : 
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图 17.3-5、 在 了 正 上 头 设 定 proxy 的 流程 


就 是 要 输入 正确 的 proxy server 的 IP 与 port 的 相关 数据 啊 ! 如 下 图 
修 ， 


先 点 选 箭头 1 所 指定 的 项 目 ， 然 后 才能 够 开始 填写 正确 数据 。 一 般 来 
说 ， 近 端 网址 ( 例 


如 区 网 的 服务 器 ) 可 以 不 透 过 proxy 去 捉 取 数据 ， 因 此 这 里 可 以 色 选 箭 
头 三 所 示意 的 
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[TITEEE x| 


EE 


BR 
下 * 要 夏 保 使 用 手动 恕 定 ， 请 停 用 自动 恕 













厂 自动 填 测 该 定 包 ) 
厂 使 用 自动 组 态 指 分 码 翁 ) 
条 址 古 ) 





扩 各 的 区 域 阐 略 使 用 proxy 
擅 名 或 YPN 连 穆 )@) 


位 址 惠 ): J192.168.1.100 问 接 起 名 :3128 进 阶 (C) | 
I” 近 端 乎 址 不 使 用 ProxyiBB) 








> 到 





D 
图 17.3-6、 在 正 上 头 设 定 proxy 的 流程 


ee firefox 来 测试 一 下 ， 如 果 你 要 连 的 网 站 是 被 拒绝 的 会 
0 何 ? 


17.3.2 测试 proxy 失败 的 画面 


开始 利用 你 的 浏览 器 来 浏览 各 个 网 站 ， 基 本 上 你 都 会 发 现 正 确 的 网 站 内 
容 。 但 如 果 


你 要 连 的 网 站 是 刚刚 被 拒绝 的 呢 ? ”举例 来 说 ， 刚 刚 我 们 有 设 定 拒绝 连 


回 .yahoo.com 


的 嘿 ! 那么 如 果 你 真 的 输入 网 址 是 tw.yahoo.com， 那 屏幕 上 应 该 是 会 这 
样 输出 的 ! 
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他 | 3 | @! httpiiitw yahoo comy 


se: PIR 
ERROR 地 


"The requested URL could not be 
retrieved 


The following error iene while trying to retrieve the URL.; 
http': /it 


wyYahoo,com 2 3 


谷 连 千 之 网 站 的 存 取 控 制 语 定 目前 禁止 了 您 的 圳 御 要 求 ' 如 宁 您 党 得 得 到 过 梯 的 讯息 站 不 
正确 ' 请 和 与 提供 多 路 服务 的 管理 者 陪 玛 。 


Your cache administrator is dmtsal@w ww ,centos,.wbird, 











Generated Tue, O02 Bug 2011 06;51;03 GMT by www.centos,vbird (squid/3,1.4) 





D 
图 17.3-7、 联 机 被 proxy 拒绝 时 的 反应 情况 


从 上 图 我 们 可 以 发 现 ， 目 标 网 站 是 tw.yahoo.com， 然 后 产生 问题 的 地 方 
在 于 『 存 


取 被 拒绝 (Access Denied) 」 ， 表 示 问 题 的 发 生 在 于 proxy 的 设 定 ， 然 后 
系统 还 很 好 


心 的 告诉 你 管理 员 (cache administrator) 的 email ， 让 你 有 问题 可 以 回报 
给 他 。 最 


后 ， 这 个 信息 是 否 为 新 的 ? 底下 还 会 告诉 你 这 个 错误 发 生 的 时 间 点 呢 ! 
这 样 有 没有 很 清 


楚 啊 ? 人 人! proxy 的 错误 不 只 是 这 些 ， 因 此 ， 当 你 还 有 发 现 无 法 联机 








的 网 站 时 ， 请 
务必 要 看 看 屏幕 的 输出 信息 才 好 哆 ! 
17.4 服务 器 的 其 他 应 用 设 定 


0 proxy 设 定之 外 ， 如 果 你 还 有 其 他 可 供 利 用 的 上 层 代 理 服务 
髓 ， 访 、 


定 我 们 就 能 够 设计 一 下 如 何 进 行 分 流 的 动作 了 ! ”此 外 ， 如 果 针 对 信任 
用 户 来 说 ， 难 道 


得 要 一 直 使 用 acl 直接 指定 用 户 来 源 然后 再 用 http_access 放行 ? 有 没有 
认证 功能 


啊 ? ”这样 就 不 用 一 直 修 改 设 定 啊 ! 这 些 其 它 的 应 用 设 定 在 这 个 小 节 来 
大 大 1 
雇 刻 吧 ! 


17.4.1 上 层 Proxy 与 获取 数据 分 流 的 设 定 





net.giang(@hotmail.com 


I 的 上 层 proxy 服务 器 我 们 在 _17.1.3 里 面谈 过 了 ， 你 可 以 重新 回 
瞧 瞧 。 











不 过 ， 假 设 你 押 在 的 环境 并 没有 上 层 代 理 服务 器 ， 但 是 你 有 两 部 Linux 
主机 放置 在 不 


同 的 ISP 环境 下 ， 这 两 个 ISP 对 某 些 国外 的 带宽 流量 不 同 ， 所 以 你 想 要 
根据 这 样 的 


情况 来 设计 一 下 获取 WWW 网 页 的 分 流 时 ， 可 以 怎么 做 ? 我 们 举 个 例 
子 来 说 好 了 


hinet.centos.vbird: 这 部 主机 位 于 hinet 这 个 ISP 底下 ， 对 大 陆 (.cn) 
的 流量 比较 高 ， 作 为 上 层 代 理 服务 器 之 用 ; 
www.centos.vbird: 这 部 主机 位 于 学 术 网 络 (昆山 科大 )， 因 为 对 大 陆 








带宽 

被 限制 ， 因 此 浏览 速度 相对 较 慢 。 

ee hinet.centos.vbird 是 上 层 代 理 服务 器 ， 因 此 这 部 主机 得 要 
开户 

www.centos.vbird ”这 部 机 器 的 使 用 权 ， 这 动作 包括 : (1) 利用 adl 
srcdomian 等 方 


式 放 行 www.centos.vbird 的 使 用 权 ;”(2) 开 放 www.centos.vbird 的 port 
3128 的 


防火 墙 过 滤 功 能 。 如 此 一 来 ， 我 们 这 部 www.centos.vbird 才能 够 使 用 上 
层 代 理 服务 器 


嘿 ! 也 就 是 说 ， 这 两 部 主机 都 要 是 你 能 够 掌握 的 才 行 。 (至 少 也 要 上 层 
ISP 能 够 蔡 你 开 


放 使 用 权 啦 )。 


那么 www.centos.vbird 要 如 何 设 定 呢 ?基本 上 ， 设 定 上 层 代 理 服务 器 与 
分 流 的 参 


数 主要 有 : cache_peer, cache_peer_domain, cache_peer_access 等 ， 分 别 


说 明 语 法 
如 下 : 


cache_peer 的 相关 语法 
cache_peer [上 层 proxy 主机 名 ] [proxy 角色 ] [proxy port] [icp port] [额外 
参数 ] 


这 个 设 定 值 就 是 在 规范 上 层 代理 服务 器 在 哪里 ， 以 及 我 们 想 要 对 这 部 代 
理 服 务 器 如 何 查 


询 的 相关 设 定 值 。 
上 层 proxy 主机 名 : 例如 本 案例 中 束 是 hinet.centos.vbird 这 一 部 吃 ; 
proxy 角色 : 这 部 proxy 是 我 们 的 上 层 (parent) ? 还 是 作为 我 们 邻近 
Co 的 协力 运作 的 proxy ? 因为 我 们 要 利用 上 层 去 捉 取 数据 ， 因 此 


使 用 的 是 parent 这 个 角色 值 ; 


proxy port: 通常 就 是 3128 听 ! 


icp port: 通常 就 是 3130 嘛 ! 


额外 参数 : 针对 这 部 上 层 proxy 我 们 想 要 对 它 进 行 的 碍 询 数据 的 行为 
设 定 。 


主要 有 : 

0 proxy-only: 向 上 层 proxy 要 到 的 数据 不 会 快 取 到 本 地 的 proxy 服 
务 器 内 ， 降 低 本 地 proxy 负担 ; 
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o wieght=n: 权重 的 意思 ， 因 为 我 们 可 以 指定 多 部 上 层 Proxy 主机 ， 
哪 一 部 最 重要 ? 就 可 以 利用 这 个 weight 来 设 定 ，n 越 大 表示 这 部 Proxy 
越 重 要 

0 no-query: 如 果 向 上 层 Proxy 要 求 资料 时 ， 可 以 不 需要 发 送 icp 封 
包 ， 以 降低 主机 的 负担 

o no-digest: 表示 不 向 附近 主机 要 求 建立 digest 纪录 表格 

0 no-netdb-exchange: 表示 不 向 附近 的 Proxy 主机 送出 imcp 的 封包 
要 求 


cache_peer_domain 的 相关 语法 
cache_peer_domain [上 层 proxy 主机 名 ] [要 求 的 领域 名 ] 


这 个 设 定 值 的 意 品 是 说 ， 你 想 要 使 用 这 部 上 层 代理 服务 器 问 哪 个 领域 名 
要 求 数据 。 





cache_peer_access 的 相关 语法 
cache_peer_access [上 层 proxy 主机 名 ] [allow|deny] [acl 名 称 ] 


与 cache_peer_domain 相当 类 似 ， 只 是 cache_peer_domain 直接 规范 了 主 
机 名 


(domain name)， 而 如 果 你 想 要 设计 的 并 非 领域 名 ， 而 是 某 些 特定 的 IP 
网 段 时 ， 就 得 


要 先 用 acl 设计 一 个 名 称 后 ， 再 以 这 个 cache_peer_access 去 放行 (allow) 
或 拒绝 


(deny) 读 取 了 。 


根据 上 述 的 语法 说 明 ， 那 么 我 们 想 要 达到 .cn 使 用 hinet.centos.vbird 这 
部 服 


务 器 的 代理 功能 时 ， 应 该 要 这 样 设计 的 : 

[root@www ~]# vim /etc/squid/squid.conf 

cache_peer hinet.centos.vbird parent 3128 3130 proxy-only no-query 
no-digest 

cache_peer_domain hinet.centos.vbird .cn 


[root@www ~|]# /etc/init.d/squid reload 


如 果 你 还 有 其 它 的 需求 再 利用 acl 规范 了 目标 位 置 后 ， 再 以 


cache_peer_access 去 放 


行 吧 ! 如 此 一 来 ， 你 的 proxy server 就 是 一 部 会 主动 的 依据 不 同 的 要 求 
癌 不 同 的 上 


层 服务 器 求 取 数据 的 聪明 proxy 中 ! 
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oO 
17.4.2 Proxy 服务 放 在 NAT 服务 器 上 : 通 透 式 代理 (Transparent Proxy) 


从 上 面 的 说 法 来 看 ， 我 们 可 以 发 现 proxy 可 以 做 到 类 似 防火 墙 的 功能 
(acl dst， 


acl dstdomain 再 配合 http_access 处 理 )， 但 是 ， 我 们 也 知道 浏览 器 得 要 
设 定好 


proxy 之 后 ， 才 会 真 的 使 用 proxy 嘛 ! 那 就 不 就 是 在 要 宝 用 的 防火 墙 
吗 ? 只 要 你 的 用 


户 知道 不 要 设 定 proxy 就 可 以 舱 过 你 的 管控 ， 那 这 部 proxy 防火 场 有 啥 
屁 用 啊 ? 您 说 


是 吧 ? 


那 该 如 何 强制 使 用 者 一 定 要 使 用 你 的 proxy 呢 ? 很 简单 ! 那 就 是 : (1) 
在 对 外 的 


防火 墙 服 务 器 (NAT) 上 面 安 装 proxy; (2) 在 proxy 上 头 启 动 transparent 


功能 ; 


(3) NAT 服务 器 加 上 一 条 port 80 转 port 3128 的 规则 ， 如 此 一 来 ， 所 有 
往 port 80 


的 封包 就 会 被 你 的 NAT 转向 port 3128 ， 而 你 的 port 3128 就 是 proxy 


就 得 要 用 你 的 proxy ， 而 且 重 点 是 ， 浏 览 右 不 需要 进行 任何 设 定 ! 


呵呵 ! 也 就 是 说 ， 当 使 用 者 是 经 过 NAT 服务 器 联机 出 去 时 ， 只 要 让 
NAT 服务 器 发 


现 『 喷 ! 你 是 要 去 捉 WWW 的 资料 对 吧 ! 好 ! 那么 这 个 动作 由 Proxy 
服务 帮 你 搞定 ! ] 


如 此 一 来 ， 使 用 者 根本 就 不 需要 在 浏览 副 上 面 设 定 Proxy 的 相关 数据 ， 











因为 这 个 动作 


是 『 由 NAT 服务 器 自己 决定 的 ] ， 所 以 只 要 在 NAT 服务 器 上 面 设 定 妥 
当即 可 ， 使 用 者 


不 必 设 定 任 何 数 据 呢 ! 呵呵 ! 真是 不 错 ! 而 且 进 行 的 动作 非常 简单 ! 
#1. 设 定 proxy 成 为 通 透 式 代 理 服务 器 的 功能 ! 








[root@www ~]# vim /etc/squid/squid.conf 

http_port 3128 transparent 

# 找 到 3128 这 行 后 ， 在 最 后 面 加 上 transparent 即 可 
[root@www ~|]# /etc/init.d/squid reload 


接 下 来 ， 将 来 自 192.168.100.0/24 这 个 内 网 的 来 源 ， 只 要 是 要 求 port 80 
的 ， 就 将 


它 重 新 导向 port 3128 的 方式 为 : 

[root@www ~]# vim /usr/local/virus/iptables/iptables.rule 

iptables -t nat -A PREROUTING -i $INIF -s 192.168.100.0/24 -p tcp \ 
--dport 80 -] REDIRECT --to-ports 3128 

# 将 上 述 这 一 行 加 在 最 底下 /etc/init.d/iptables save 的 上 面 一 行 即 可 ! 
[root@www ~|]# /usr/local/virus/iptables/iptables.rule 


这 样 就 结束 啦 ! 很 简单 吧 ! 通常 这 样 的 环境 相当 适合 学 校内 的 教室 或 者 
征 计 中 的 环境 ， 


因为 这 样 学 校内 部 根本 不 需要 请 学 生 设 定 浏览 器 的 proxy 功能 ， 立 刻 就 
能 够 达到 我 们 


所 需要 的 管控 能 力 ! 很 棒 吧 ! 不过， 虽然 这 样 的 功能 已 经 很 棒 了 ， 但 














是 乌 哥 实际 用 在 
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必 


学 校 教室 环境 中 却 发 现 了 一 些 问 题 ，“ 那 就 是 很 多 同学 同时 上 传 同一 个 
档案 到 外 部 服务 


器 去 ， 因 为 proxy 快 取 的 功能 ， 结 果 让 学 生 一 直 取 得 旧 的 档案 ， 对 于 教 
网 页 制作 的 老 


师 来 说 ， 很 困扰 一 因为 教学 过 程 中 种 向 需要 上 传 最 新 的 网 页 嘛 ! 但 古 
PIOXY 快 取 住 ， 所 


以 却 得 到 错误 的 数据 了 一 那 怎 办 ? 




















仅 具 有 proxy 无 快 取 功 能 的 代理 


transparent proxy 的 目的 仅 是 在 进行 控 管 ， 并 不 要 去 处 理 
快 取 的 


任务 (因为 带宽 假设 是 够 的 )， 那么 干脆 就 不 要 快 取 啦 ! 这 样 不 就 OK 
啦 ? 好 吧 ! 那 我 





们 就 来 搭配 transparent 进行 这 个 设 定 看 看 。 假设 transparent proxy 已 经 


当 ， 那 么 接 下 来 束 是 让 你 的 快 取 目 录 空 空 如 也 ， 且 再 也 不 写 入 任何 资 
料 。 此外， 也 不 


要 有 多 余 的 内 存 来 记录 热门 档案 啦 ! 


# 先 关 闭 squid ， 然 后 删除 快 取 目 录 ， 之 后 再 重建 快 取 目录 ， 此 时 快 取 
目录 束 空 


了 





[root@www ~|]# /etc/init.d/squid stop 

[root@www ~]# rm -rf /var/spool/squid/* 

[root@www ~]# vim /etc/squid/squid.conf 

cache_dir ufs /var/spool/squid 100 16 256 read-only 

#cache_dir ufs /srv/squid 2000 16 256 

# 额外 的 那个 /srv/squid 批注 掉 ， 然 后 第 一 行 多 个 read-only 字样 ! 
cache mem 0 MB 

# 本 来 规范 有 32MB ， 现 在 不 要 了 ! 

[root@www ~|]# /etc/init.d/squid start 


如 此 一 来 ， 这 部 proxy 就 再 也 没有 快 取 了 ， 全 部 资料 都 得 要 自己 癌 外 头 
提取 ! 就 不 会 


有 旧 数 据 重 复出 现 的 问题 一 
17.4.3 Proxy 的 认证 设 定 


既然 proxy 有 许多 功用 ， 包 括 分 流 的 功能 ， 很 不 赖 啊 ! 但 是 ， 由 于 网 络 
内 人 越 来 


越 多 ， 因 此 proxy 不 可 以 设计 为 open proxy ! 亦 即 是 不 能 够 开放 所 有 的 
人 使 用 你 的 


proxy 啦 ! 所 以 ， 一 般 来 说 ， proxy 只 会 开放 内 部 网 域 的 人 们 来 使 用 而 


己 。 问题 是 ， 


如 果 我 在 Internet 也 想 要 使 用 这 部 自己 架设 的 proxy 时 ， 该 如 何 是 好 ? 
还 得 要 再 次 


的 修改 squid.conf 吗 ? 有 没有 这 么 态 烦 ? 
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没关系 啦 ! 为 了 这 个 问题 ， squid 官方 软件 已 经 给 予 了 认证 的 设 定 功 
能 ! 意 即 我 


们 可 以 透 过 认证 来 简单 的 输入 账号 密码 ， 知 通 过 验证 ， 就 可 以 立刻 使 
用 我 们 的 proxy 


了 ! 这 样 束 好 多 啦 ! 那 如 何 达 成 呢 ? 其 实 squid 提供 很 多 认证 功能 ， 我 


们 需要 的 是 最 


简单 的 功能 即 可 。 使 用 的 是 squid 主动 提供 的 ncsa_auth 认证 模块 ， 这 个 
模块 会 利用 


apache (WWW 服务 器 ) 提供 的 帐 密 建 立 指 令 (htpasswd) 所 制作 的 密码 文 
件 作 为 验证 


依据 。 所 以 ， 我 们 至 少 需要 检查 有 没有 这 两 样 东 西 : 

[root@www ~]# rpm -ql squid | grep ncsa 

/usr/lib64/squid/ncsa_auth <== 有 的 ! 就 是 这 个 验证 模块 档案 ! 注意 完 
整 路 径 

/usr/share/man/man8/ncsa_auth.8.gz 

[root@www ~]# yum install httpd <==apache 软件 安装 

[root@www ~I# rpm -ql httpd | grep htpasswd 

/usr/bin/htpasswd <== 台 是 需要 这 个 帐 密 建 立 指令 ! 
/usrshare/man/man1/htpasswd.1.gZz 

这 样 的 事前 准备 就 差不多 了 。 让 我 们 来 考虑 一 个 案例 好 了 : 


内 部 网 域 192.168.100.0/24 要 使 用 proxy 的 ， 还 是 不 需要 透 过 验证 ; 


外 部 主机 想 要 使 用 proxy (例如 192.168.1.0/24 这 段 ) 才 需 要 验证 ; 
使 用 NCSA 的 基本 身份 验证 方式 ， 且 密码 文件 建立 在 
/etc/squid/squid_user.txt 
上 述 档案 仅 有 一 个 用 户 vbird ， 他 的 密码 为 1234 
那 该 如 何 处 理 呢 ? 开始 来 一 步 一 步 进 行 吧 : 
#1. 先 修改 squid.conf 档案 内 容 
[root@www ~]# vim /etc/squid/squid.conf 
#1.1 先 设 定 验 证 相关 的 参数 
auth_param basic program /usr/lib64/squid/ncsa_auth 
/etc/squid/squid_user.txt 
auth_param basic children 5 
auth_param basic realm Welcome to VBird's proxy-only web server 
# 非特 殊 字 体 为 关键 词 不 可 更 动 ， 第 一 行为 透 过 ncsa_auth 读 取 
squid_user.txt 密码 
# 第 二 行为 启动 5 个 程序 (squid 的 子 程序 ) 来 管理 验证 的 需求 ; 
# 第 三 行为 验证 时 ， 显 示 给 用 户 看 的 欢迎 讯 上 号 ， 这 三 行 可 写 在 最 上 面 ! 
#1.2 然后 是 针对 验证 功能 放行 与 个 的 acl 与 http_access 设 定 


acl vbirdlan src 192.168.100.0/24 <== 修 改 一 下 ， 取 消 192.168.1.0/24 














acl dropdomain dstdomain "“/etc/squid/dropdomain.txt" 


acl dropsex urlpath regex /sexy.*jpg$ 
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EE 


Broxy moz-proxy'192.168.1.100:3128 要 求 验 入 帐号 及 密码 : 该 Proxy 说 : "Welcome to YBird's 
prowy-only web server” 


使 用 者 名 稍 : | vbird 


对 eee Ce | 
Cwe | mh | 





0 

acl squid_user proxy_auth REQUIRED <== 建 立 一 个 需 验 证 的 acl 名 称 
http_access deny dropdomain 

http_access deny dropsex 

http_access allow vbirdlan 

http_access allow squid_user <== 请 注意 这 样 的 规则 顺序 喔 ! 验证 在 
最 后 

# 2. 建立 密码 数据 

[root@www ~]# htpasswd -c /etc/squid/squid_user.txt vbird 

New password: 

Re-type new password: 

Adding password for user vbird 

# 第 一 次 建立 才 需 要 加 上 -c 的 参数 ， 含 则 不 需要 加 上 -c 喔 ! 


[root@www ~]# cat /etc/squid/squid_user.txt 








vbird:vRC9ie/4E21c. <== 这 就 是 用 户 与 密码 嘿 ! 


[root@www ~|]# /etc/init.d/squid restart 


比较 需要 注意 『acl squid_user proxy_auth REQUIRED」 这 一 串 设 定 ， 
proxy_auth 是 


关键 词 ， 而 REQUIRED 则 是 指定 任何 在 密码 文件 内 的 用 户 都 能 够 使 用 
验证 的 意思 。 如 果 


一 切 顺 利 的 话 ， 那 么 你 的 内 网 依旧 可 以 使 用 transparent proxy ， 而 外 网 


则 需要 输入 


账 密 才 能 够 使 用 proxy server 提供 的 代理 能 力 。 至 于 验证 的 过 程 有 点 像 
这 样 : 


图 17.4-1、 使 用 proxy 需 验 证 的 示意 图 


上 图 中 箭头 1 为 刚刚 你 设 定 的 real 内 容 ， 而 帐 密 则 是 你 用 htpasswd 所 
建立 的 


数据 啦 ! 另外 ， 既 然 已 经 加 上 了 验证 功能 ， “那么 你 可 能 得 要 将 防火 墙 
开放 port 3128 对 


全 世界 监听 的 过 滤 才 行 哟 ! 防火 增 还 是 不 要 喜 记 了 ! 入 入 


17.4.4 末端 登录 档 分 析 : sarg 
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squid 已 经 收集 了 众多 的 登录 文件 分 析 软 件 了 ， 而 且 大 多 是 免 








(http:/www.squid-cache.org/Scripts/)”， 你 可 以 依照 自己 的 喜好 来 加 以 安 
装 与 分 析 


你 的 squid 登录 档 喔 ! 乌 哥 这 里 仪 介绍 一 套 相当 强 的 分 析 软 件 ， 那 就 是 


Sarg。 


Squid Analysis Report Generator (Squid 分 析 报 告 制作 者 )， 他 的 官方 网 站 
在 : 


将 logfile 





出 来 ， 然 后 进行 一 下 解析 ， 依 据 不 同 的 时 间 、 网 站 、 与 热门 网 站 等 等 来 
进行 数据 的 输出 ， 


由 于 输出 的 结果 实在 是 太 详细 了 ! 所 以 ... 呵 呵 ! 如 果 你 是 老板 的 话 ， 用 
这 个 软件 会 让 


你 『 爱 不 释 手 」 啊 ! ”因为 每 个 人 的 每 个 小 动作 都 会 被 记录 下 来 ， 我 的 
天 响 ! 当 我 第 一 


次 看 到 这 个 分 析 的 画面 时 ， 真 的 给 他 吓 了 老大 一 跳 得 说 一 因为 连 每 个 IP 
在 『 每 个 小 时 


所 连 上 的 每 个 网 站 数据 」 都 有 纪录 一 一 害 介 了 吧 一 


不 过 ， 有 优点 就 有 人 缺点 啦 ! 怎么 次 呢 ? 因为 SARG 功能 太 强 大 了 ， 所 以 
记录 的 『 数 


据 量 」 就 实在 是 多 了 点 ， 如 果 你 的 Proxy 网 站 属于 那 种 很 大 流量 的 网 站 
时 ， 那 么 就 不 


要 使 用 『 日 报表 】， 也 就 是 每 天 产生 一 份 报表 的 那 种 方式 ! ”那么 由 于 
数据 一 天 可 能 会 


有 几 MB 的 数据 ， 一 两 个 月 还 没有 关系 ， 如 果 记 录 了 几 年 ， 那 么 光 是 这 
些 记录 就 会 花 掉 


好 几 GB 的 硬盘 空间 了 一 此 外 ， 也 可 以 使 用 『 履 盖 旧 有 数据 」 的 方式 不 
要 留存 旧 数 据 ， 


这 样 也 可 以 节省 硬盘 的 空间 啦 ! 


在 SARG 的 官网 上 面 已 经 有 朋友 蔡 大 家 将 RPM 的 档案 制作 出 来 了 ， 你 
可 以 参考 : 























http:/packages.sw.be/sarg/_ 网 站 内 的 档案 。 由 于 乌 哥 用 的 是 CentOS 6.x 
64 位 版 





本 ， 但 截至 本 日 为 止 (2011/08) 这 个 网 站 尚未 释 出 稳定 的 CentOS 6 版 
本 ， 因 此 鸟 哥 


下 载 的 是 sarg-2.2.3.1-1.el5.rf.x86_64.rpm 这 个 版 本 。 你 可 以 使 用 wget 下 
载 到 


/root 克 下 ， 再 用 rpm -ivh 去 安装 起 来 即 可 。 这 个 软件 默认 会 将 


/Var/www/sarg 作 


为 输出 报表 的 目标 ， 而 且 你 必须 要 安 状 与 启动 WWW 服务 器 ， 至 于 网 
址 列 则 是 : 


http://your.hostname/sarg 去 但 阅 。 底 下 让 我 们 来 处 理 sarg 的 配置 文件 
吧 ! 











[root@www ~]# yum install gd 

[root@www ~]# rpm -ivh sarg-2.2.3.1-1.el5.rf.x86_64.rpm 
[root@www ~ |]# vim /etc/sarg/sarg.conf 

title "Squid 使 用 者 存 取 报告 " <== 第 49 行 左右 

font_size 12px <== 第 69 行 左 右 

charset UTF-8 <== 第 353 行 左右 

#1. 一 口气 制作 所 有 登录 文件 内 的 数据 报表 
[root@www ~]# sarg 

SARG: Records in file: 2285, reading: 100.00% <== 列 出 分 析 信 息 
#2. 制作 8 月 2 日 的 报表 

[root@www ~ 1# sarg -d 02/08/2011 


# 这 两 个 范例 ， 都 会 将 数据 丢 到 /var/www/sarg/ONE-SHOT/ 底下 去 ; 


# 3. 制作 昨天 的 报表 
[root@www ~]#sh /etc/cron.daily/sarg 
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Squid Users Access Report -Mozilla Firefox 





档案 (E) 编辑 (E) 检视 (V) 愿 史 (S) 书 锋 (B) 工具 (I) 说 明 (H) 


4 9 -OO A rpc 7] "I 


图 最 常 浏 喧 ” |@jCentos 从 Support” 






图 Squid Users Access Report 中 | 
9 Squid User's Access Report 
DIRECTORY DESCRIPTION 
ONE-SHOT One shot reports 
daily Daily reports 
3 pu weekly Weekly reports 
monthly Monthly reports 
完成 


只 Squid Analysis Report Generator 






Squid 使 用 者 存 取 报 告 


CREATION DATE USERS| BYTES| AVERAGE| 
2011Apr0O 和 2011Apr07| 五 4 月 8 17:41;05 CST 2011 | 74M 7ay| 
2011Apr07~201Aprog| 五 4 月 8 17:4022 CST 2011 3 2083M 694y| 


Generated by sarg-223.1 Jan-02-2007 on Apr/08/201] 17:.41 


# 这 个 范例 则 是 将 每 天 的 数据 放置 于 /var/www/sarg/daily/ 底下 去 ! 


如 果 制 作 好 相关 数据 ， 由 于 sarg 这 个 RPM 档案 已 经 帮 有 我 们 设 定好 了 每 
日 、 每 周 、 


月 进行 一 次 执行 ，“ 所 以 你 可 以 不 用 管 怎么 执行 啦 ! 非常 的 方便 ! 如 果 


想 要 查阅 数据 ， 
只 要 在 proxy server 端 输入 http://your.hostname/sarg 会 看 到 如 下 画面 : 
图 17.4-2、sarg 报表 观察 示意 图 


如 上 所 示 ， 在 网 址 列 输 入 服务 器 本 机 的 歇 咯 ， 然 后 会 看 到 几 个 连结 。 与 
我 们 有 关 的 


是 ONE-SHOT 以 及 daily 两 个 ， 我 们 来 瞧 瞧 ONE-SHOT (箭头 2 所 指 ) 
里 面 有 啥 吃 吃 ? 
按 下 去 会 看 到 下 图 : 


图 17.4-3、sarg 报表 观察 示意 图 


如 上 图 所 示 ， 因 为 我 们 刚刚 测试 执行 过 两 次 sarg 的 指令 ， 所 以 这 里 会 有 
两 个 时 间 


的 连结 。 我 们 先 看 看 总 和 数据 ，” 亦 即 图 中 箭头 所 指 的 地 方 ， 会 出 现下 
图 的 说 明 : 
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S1101 23.33%| QT7I%| 29% O00T:S9| 479218| 69.46% 
TOTAL 2.33K| 20.83¥ 0.19%| 99.81% 00:11:29| 689.902 
AVERAGE 779| 6.94¥ 00:03:49| 229.967 


squid 使 用 者 存 取 报 告 
Period: 2011N\ 7-2011N 
User: client.centos.vbird 
Sort: BYTES, reverse 

User Report 


ACCESSED SITE | coxxEcT| BYTES | xBYTES| IN-CACHE-OUT| ELAPSED TIME|MITLISEC |%TIME | 
WW | :atebrowsina-cacheaooalecom | 98| iosay| 96a7| ooon| i0000%| oouoci| a1.445| 44.73| 
WW | mikicentosors | 22| 12s] ism| oo0%| 10000| cow0s| is328| 21a0%| 
WB | wwweentosors | 17| iaok| 1.33%| oo00| ioooos| oow00ts| _ i13817| 225o| 
WB| safebronsing clientsgooglecon| 6| iseak| omrs| ooos| io000| oo0ow0| 250| oa 
区 |192168100254 | é| 1420k| oaas| ooos| ioooos| oow0m0| 485| om 
WwW |eentosttcokr | 4| aouaek| ooen| _000| 100.00%| 000ne| 2222 | 3uet| 
WB | frpdaumnet | 4| 95ek| oogs| oo0| 1i0000| oow0000| | L103% 
| dicvbirdtn | 1o| 72sk| oor:| 2198%| Tods| ocw0ow2| 2303| | 
Ww | sftpisuedurn | 3| eowx| ooss| ooos| 10000| ooxocoo| 30| oon 
WW | datanicehostinaeokr | 2| sek | 0.05% _o00| 100.00%| cow00n00| 17 | | 
WB | eentosnirrorcdnetnorks.con | a 00k| oods| oo0s| 100.00%| oo s24| 07 Ts 
一 一 一 一 一 | 1| 18k| ooig| oon| i0000%| ccs00w00| To6| i100%| 
ToTAL | 174|10.95x| 52.57%| 0.01%| 99.99%| 00:01:10| 70.297 | 10.19%| 
AVERAGE | 779| 6.94¥| 00:03:49 | 229. 967 |33. 33%| 


Generated by sarg-2231 Jan-02-2007 on Apr/08/2011 17:40 


图 17.4-4、sarg 报表 观察 示意 图 


在 该 段 时 间 内 ， 共 有 三 个 用 户 在 存 取 ， 我 们 来 瞧 瞧 client.centos.vbird 到 
属于 


了 啥 事 吧 ! 
图 17.4-5、sarg 报表 观察 示意 图 


人 这 个 用 户 在 这 段 时 间 进 行 过 的 联机 通通 在 里 面 ! 有 没有 很 清 
和 呢 ? 


17.5 重点 回顾 
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0 


0 


0 向 因特网 要 求 Web page 的 数据 ， 同 
时 这 全 


Web pages 的 快 取 记 录 ， 以 达到 带宽 市 省 的 目的 此外， 还 可 以 额外 的 


火 墙 的 功能 ; 
我 们 可 以 透 过 具有 较 大 带宽 的 上 层 代 理 服务 器 来 进行 捉 取 数据 的 分 


rz 
YE; 


设 定 Proxy 时 ， 如 果 能 以 带宽 更 大 的 上 层 Proxy 来 帮助 ， 将 有 助 于 
Client 


端 浏览 速度 的 提升 ; 


以 防火 墙 的 功能 来 说 ， Proxy 使 用 应 用 层 的 方式 来 达成 防火 增 功 能 ， 
至 于 





iptables 则 是 更 为 底层 的 TCP/IP 分 析 的 方式 ; 


目前 Unix Like 的 机 器 中 ， 做 为 proxy 功能 的 服务 器 软件 几乎 都 是 使 
用 


squid ， 而 squid 仅 需 要 设 定 squid.conf 这 个 配置 文件 即 可 使 用 ; 


squid 主要 透 过 acl 配合 http_access 来 进行 信任 用 户 与 目标 WWW 服 
务 


器 的 控 管 ; 


用 http_access 这 个 参数 来 设 定 控 管 行为 时 ， 顺序 上 是 有 影响 的 











transparent proxy 的 功能 就 是 可 以 让 client 端 不 需要 设 定 浏览 器 的 


proxy 功能 ， 即 可 进行 proxy 的 工作 ; 


17.6 本 章 习 题 

请 说 明 为 何 Proxy 可 以 提升 网 络 的 WWW 浏览 速度 ? 

万 一 squid 发 生 了 问题 ， 请 问 我 该 如 何 找 出 问题 点 ? 

请 说 明 Proxy 服务 器 的 功能 为 何 ? 

试 说 明 为 何 Proxy 服务 器 可 以 提升 网 域 之 内 的 网 络 安全 性 ? 
17.7 参考 数据 与 延伸 阅读 





http://www.deckle.co.za/squid-users-guide/ 
squid 的 验证 流程 : 
http:/www.l-penguin.idv.tw/article/proxy-auth.htm 
旧版 的 一 些 范例 参考 : 
http://linux.vbird.org/linux server/0420squid/0420squid vbird ex 
squid 官网 收集 的 登录 文件 分 析 软 件 : 
http://www.squid-cache.org/Scripts/ 
2001/??/??: 第 一 次 完成 日 期 ， 其 实 已 经 起 记 了 ~ 


2001/11/09: 加 入 增加 Proxy 效能 的 方法 ， 就 是 使 用 多 颗 硬 盘 做 成 的 数 
据 储存 方式 ! 
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2003/04/04: 完成 大 幅度 的 改写 动作 ! 加 入 了 完整 的 ”Proxy 说明， 与 


pwebstats 的 架 

设 ! 

2003/04/11: 完成 了 妃 一 个 末端 分 析 的 强大 软件 SARG 分 析 套 件 ! 
2003/09/16: 微 幅 调 校 一 下 版 面 ! 


2004/11/12: 修订 transparent proxy 的 设 定 问 题 ， httpd_accel_with_proxy 
on 


2011/03/31: 将 旧 的 基于 好 老 的 Red Hat 9 的 文章 移动 到 此 处 
2011/04/08: 累 死 了 一 这 篇 修改 的 幅度 太 大 了 ! 好 疲倦 一 
2011/08/02: 将 基于 CentOS 5.x 的 版 本 移动 到 此 处 


第 音 、 网 络 驱 动 占 装置 iSCSI 








最 近 更 新 日 期 : 2011/08/02 


如 果 你 的 系统 需要 大 量 的 磁盘 容量 ， 但 是 身边 却 没 有 NAS 或 外 接 的 储 
存 设 备 ， 仅 有 个 人 计算 机 时 ， 那 该 


如 何 是 好 ? 此 时 ， 透 过 网 络 的 SCSI 磁盘 (iSCSD 就 能 够 有 大 大 的 帮助 
啦 ! 这 个 iSCSI 是 将 来 自 网 络 


的 数据 仿真 成 本 机 的 SCSI 设备 ， 因此 可 以 进行 诸如 LVM 等 方面 的 实 
作 ， 而 不 是 单纯 使 用 服务 器 端 提 


供 的 文件 系统 而 已 ， 相 当 的 有 帮助 喔 ! 














18.1.1NAS 与 SAN 
18.1.2 iSCSI 界面 


18.1.3 各 组 件 相关 性 
18.2 iSCSItarget 的 设 定 
18.2.1 所 需 后 结 松 
18.2 2 target 的 实际 设 定 
18.3 iSCSI initiator 的 设 定 


18.3.1 所 需 软 件 与 软件 结 校 





18.3.3 一 个 测试 范例 


18.4 重点 回顾 

18.5 本 章 习 题 

18.6 参考 数据 与 延伸 阅读 

18.7 针对 本 文 的 建议 ， http:/phorum.vbird.org/viewtopic.php? 





f=16&t=35503 
18.1 网 络 文件 系统 还 是 网 络 驱 动 器 





net.qiang(Ohotmail.com 


0 


做 为 服务 器 的 系统 通常 是 需要 储存 设备 的 ， 而 储存 设备 除了 可 以 使 用 系 
统 内 建 的 磁 


盘 之 外 ， 如 果 内 建 的 磁盘 容量 不 够 大 ， 而 且 也 没有 额外 的 磁盘 插 模 
(SATA 或 IDE) 可 


用 时 ， 那 么 第 见解 决 的 方案 就 是 增加 NAS (网 络 附加 储存 服务 器 ) 或 外 
接 式 储存 设备 。 





再 高 档 一 点 的 系统 ， 可 能 就 会 用 到 SAN (储存 局 域 网 络 ) 这 个 高 贵 的 玩 
意 儿 ( 注 卫 。 


不 过 ， 不 论 是 哪 一 种 架构 ， 基 本 上 ， 它 们 的 内 部 硬盘 通常 是 以 磁盘 阵列 
(RAID) 作 


为 基础 的 。 磁 
再 唆 。 这 里 想 


要 了 解 的 是 ， 哈 是 NAS 又 啥 是 SAN ? 这 两 者 有 何不 同 ? 与 本 章 主题 
有 关 的 iSCSI 又 


是 啥 呢 ? 底下 就 让 我 们 来 谈 一 谈 。 
18.1.1NAS 与 SAN 


由 于 企业 的 数据 量 越 来 越 大 ， 而 且 重 要 性 与 保密 性 越 来 越 高 ， 尤 其 类 似 
数据 库 的 内 


容 ， 常 常 容量 单位 是 以 TB (1TB = 1024GB) 在 进行 计算 的 。 哇 ! 真 可 
怕 ! 所 以 哆 ， 磁 


盘 阵 列 的 应 用 就 很 重要 了 。 那 么 磁盘 阵列 通常 是 在 哪里 昵 ? ”磁盘 阵列 
通常 是 (1) 主 机 


a 可 以 上 自行 管理 磁盘 阵列 。 不 过 想 要 提供 磁盘 阵 
儿 得 


要 透 过 额外 的 网 络 服务 才 行 ， (2) 外 接 式 磁盘 阵列 设备 ， 就 是 单纯 的 磁 
盘 阵 列 设备 ， 必 


须 透 过 某 些 接口 链接 到 主机 上 ， ”主机 也 要 安装 适当 的 驱动 程序 后 ， 才 
能 捉 到 这 个 设备 


所 提供 的 磁盘 容量 


不 过 ， 以 目前 的 信息 社会 来 说 ， 你 应 该 很 少 听 到 内 建 或 外 接 的 RAID 
了 ， 角 第 听 到 





这 里 就 不 














浪 


的 应 该 是 NAS 与 SAN ， 那 这 是 啥 噬 吃 ? 让 我 们 简单 的 来 说 说 : 


NAS (Network Attached Storage, 网 络 附加 储存 服务 器 ) 


基本 上 ，NAS 其 实 就 是 一 部 客 制 化 好 的 主机 了 ， 只 要 将 NAS 连接 上 网 
络 ， 那 么 在 


网 络 上 面 的 其 他 主机 就 能 够 存 取 NAS 上 头 的 数据 了 。 简 单 的 说 ，NAS 


束 是 一 部 file 


server 嘱 一 不 过 ，NAS 由 于 也 是 接 在 网 络 上 面 ， 所 以 ， 如 果 网 络 上 有 某 
个 用 户 大 量 存 


取 NAS 上 涉 的 数据 时 ， 是 很 容易 造成 网 络 停顿 的 问题 的 ， 这 个 比较 及 
烦 点 一 低 阶 的 NAS 


通常 会 使 用 Linux 系统 搭配 软件 磁盘 阵列 来 提供 大 容量 文件 系统 。 不 过 
效能 啤 就 有 符 


加 强 啦 ! 此 外 ，NAS 也 通常 支持 TCP/IP ， 并 会 提供 NFS, SAMBA, FTP 
等 常见 的 通讯 


协议 来 提供 客户 端 取 得 文件 系统 。 


那 为 什么 不 要 直接 使 用 个 人 计算 机 安装 Linux 再 搭配 相关 的 服务 ， 即 可 
提供 NAS 


预计 要 提供 的 大 容量 空间 啦 ! 干 嘛 需要 NAS 呢 ? 因为 ,通常 NAS 还 
会 包括 很 多 组 态 


的 接口 ， 通 第 是 利用 Web 接口 来 控制 磁盘 阵列 的 设 定 状 况 、 提 供 IP 或 
其 他 相关 网 络 


设 定 ， ”以 及 是 否 提 供 菜 些 特定 的 服务 等 等 。 因 为 具有 较为 杀 和 的 操作 
与 控制 接口 ， 对 


于 非 开 的 人 员 来 说 ， 探 管 较为 容易 啦 。 这 也 是 NAS 存在 的 目的 。 
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必 

不 过 ， 目 前 倒是 有 类 似 FreeNAS 的 软件 开发 项 目 
(http://sourceforge.net/projects/freenas/, 注 2)， 可 以 让 你 的 Linux PC 变 成 
部 可 透 过 Web 控 管 的 NAS 哩 ! 不 过 不 是 本 章 的 重点 ， 有 兴趣 的 朋友 可 
以 自行 前 往 下 载 

与 安装 该 软件 来 玩 玩 一 


SAN (Storage Area Networks, 储存 局 域 网 络 ) 


从 上 面 的 说 明 来 看 ， 其 实 那个 NAS 就 是 一 部 可 以 提供 大 容量 文件 系统 
的 主机 嘛 ! 


那 我 们 知道 单 部 主机 能 够 提供 的 插 模 再 怎么 次 也 是 有 限 的 ! ”所 以 并 不 
能 无 限制 的 安插 


磁盘 在 同一 部 实体 主机 上 面 。 但 是 如 果 偏 偏 你 就 是 有 大 量 磁盘 使 用 的 需 
求 ， 那 时 该 如 何 


是 好 ? 这 时 就 得 要 使 用 到 SAN 这 玩意 儿 啦 ! 


最 简单 的 看 法 ， 就 是 将 SAN 视 为 一 个 外 接 式 的 储存 设备 。 只 是 单纯 的 
外 接 式 储存 


设备 仅 能 透 过 某 些 接口 (如 SCSI 或 eSATA) 提供 单一 部 主机 使 用 ， 而 
SAN 却 可 以 透 


过 某 些 特殊 的 接口 或 信道 来 提供 局 域 网 络 内 的 所 有 机 器 进行 磁 往 存 取 。 
要 注意 喔 ，SAN 


是 提供 『 和 磁盘 (block device)j 给 主机 用 ， 而 不 是 像 NAS 提供 的 是 『 网 

















络 协议 的 文件 


系统 (NFS，SMB..)j] ! 这 两 者 的 差异 挺 大 的 喔 ! 因此 ， 挂 载 使 用 SAN 
的 主机 会 多 出 


一 个 大 磁盘 ， 并 可 针对 SAN 提供 的 磁盘 进行 分 割 与 格式 化 等 动作 。 想 
想 看 ， 你 能 对 NAS 


提供 的 文件 系统 格式 化 吗 ? 不 行 吧 ! 这 样 了 解 差异 否 ? 


男 外 ， 既 然 SAN 可 以 提供 磁盘 ， 而 NAS 则 是 提供 相关 的 网 络 文件 系 
统 ， 那 么 NAS 


能 不 能 透 过 网 络 去 使 用 SAN 所 提供 的 磁盘 呢 ? 答案 当然 是 可 以 啊 ! 因 
为 SAN 最 大 的 目 


的 束 是 在 提供 磁盘 给 服务 器 主机 使 用 ，NAS ”也 是 一 部 完整 的 服务 器 ， 
所 以 NAS 当然 可 


以 使 用 SAN 啦 ! 同时 其 他 的 网 络 服务 需 也 能 够 使 用 这 个 SAN 来 进行 数 
据 存 取 。 


此 外 ， 既 然 SAN 开发 的 目的 是 要 提供 大 量 的 磁盘 给 用 户 ， 那 么 传输 的 
速度 当然 是 


非常 重要 的 。 因 此 ， 早 期 的 SAN 大 多 配合 光纤 信道 (Fibre Channel) 来 
提供 高 速 的 数 


据 传 输 。 目 前 标准 的 光纤 信道 是 速度 是 2GB ， 未 来 还 可 能 到 达 10GB 
以 上 有 呢 一 不 过 ， 


使 用 光纤 等 技术 较 融 的 设备 ， 当 然 束 比较 贵 一 些 。 


拜 以 太 网 络 盛 行 ， 加 上 技术 成 熟 之 赐 ， 现 今 的 以 太 网 络 媒体 (网 络 卡 、 
交换 器 、 路 


由 右 等 等 设备 ) 已 经 可 以 达到 GB 的 速度 了 ， 离 SAN 的 光纤 信道 速度 其 
实 差异 已 经 缩 





小 很 多 啦 一 那么 是 否 我 们 可 以 透 过 这 个 GB 的 以 太 网 络 接口 来 连接 到 
SAN 的 设备 呢 ? 


这 就 是 我 们 接 下 来 要 提 到 的 iSCSI 架构 啦 ! 人 人 
18.1.2 iSCSI 界面 
ye a 通常 是 透 六 








区 
CLm 
A 
加 


SCSI 破 盘 ， 因 此 服务 器 上 面 必 须要 加 装 SCSI 适 配 卡 ， 而 且 这 个 SCSI 
是 专属 于 该 服 
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iISCSI tarvet iSCSIT initiator 





iSCSI 野 动 程式 iSCSI 驱动 程式 


务 需 的。 后 来 这 个 外 接 式 的 SCSI 设备 被 上 述 提 到 的 SAN 的 架构 所 取 
代 ， 在 SAN 的 


标准 架构 下 ， 虽 然 有 很 多 的 服务 圳 可 以 对 同一 个 “SAN 进行 存 取 的 动 
作 ， 不 过 为 了 速度 


需求 ， 通 党 使 用 的 是 光纤 信道 。 但 是 光纤 信道 束 是 贵 啉 ! 不 但 设备 


贯 ， 服 务 咒 上 面 也 
要 有 光纤 接口 ， 很 抹 烦 一 所 以 光纤 的 SAN 在 中 小 企业 很 难 普及 啊 一 


ee 尤其 是 以 卫 封包 为 基础 的 LAN 技术 已 经 很 成 
熟 ， 再 加 上 


以 太 网 络 的 速度 越 来 越 快 ， 所 以 就 有 厂商 将 SAN 的 连接 方式 改 为 利用 
IP 技术 来 处 理 。 


然后 再 透 过 一 些 标准 的 订 定 ， 最 后 就 得 到 Internet SCSI (iSCSD 这 玩意 
的 产生 啦 ! 

iSCSI 主要 是 透 过 TCP/IP 的 技术 ， 将 储存 设备 端 透 过 iSCSI target 
(iSCSI 目标 ) 功 

能 ， 做 成 可 以 提供 磁盘 的 服务 器 端 ， 再 透 过 iSCSI initiator (iSCSI 初始 
化 用 户 ) 功 


能 ， 做 成 能 够 挂 载 使 用 iSCSI target 的 客户 端 ， 如 此 便 能 透 过 iSCSI 协 
议 来 进行 磁 








盘 的 应 用 了 ( 注 3)。 
也 束 是 说 ，iSCSI 这 个 架构 主要 将 储存 装置 与 使 用 的 主机 分 为 两 个 部 
分 ,分别 是 ; 


iSCSI target: 就 是 储存 设备 端 ， 存 放 人 厂 盘 或 RAID 的 设备 ， 目 前 也 能 
够 将 


i 主机 仿真 成 iSCSI target 了 ! 目的 在 提供 其 他 主机 使 用 的 『 磁 
盘 」; 


iSCSI initiator: 就 是 能 够 使 用 target 的 客户 端 ， 通 常 是 服务 器 。 也 就 


是 说 ， 想 要 连接 到 iSCSI target 的 服务 器 ， 也 必须 要 安装 iSCSI initiator 
的 


相关 功能 后 才能 够 使 用 iSCSI target 提供 的 磁盘 就 是 了 。 


如 下 图 所 示 ，iSCSI 是 在 TCP/IP 上 面 所 开发 出 来 的 一 套 应 用 ， 所 以 得 要 
有 网 络 才 


行 啊 ! 
图 18.1-1、iSCSI 与 TCP/IP 相关 性 
18.1.3 各 组 件 相 关 性 
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APPLICATION SOFTWARE 


FEILE SYSIEM 


FILE SYSIEM 








由 上 面 的 次 明 中 ， 我 们 可 以 知道 一 部 服务 器 如 何 取得 磁盘 或 者 是 文件 系 
统 来 利用 呢 ? 


基本 上 就 是 : 
直接 存 取 (direct-attached storage): 例如 本 机 上 和 面 的 磁 和 可， 就 是 直接 存 





取 设 备 ; 
透 过 储存 局 域 网 络 (SAN): 来 自 区 网 内 的 其 他 储存 设备 提供 的 磁盘 ; 
网 络 文 件 系 统 (NAS): 来 自 NAS 提供 的 文件 系统 ， 只 能 立即 使 用 ， 
不 可 进 


行 格 式 化 。 


这 三 个 东西 与 服务 器 主机 能 用 的 文件 系统 之 间 可 以 用 维基 百科 的 图 示 来 
展示 : 


图 18.1-2、 服 务 器 取得 文件 系统 的 三 个 来 源 (数据 源 为 注 1) 


从 上 图 中 ， 我 们 可 以 发 现在 一 般 的 主机 环境 下 ,磁盘 装置 (SATA, SAS,， 
FC) 可 以 


透 过 主机 的 接口 (DAS) 来 直接 进行 文件 系统 的 建立 (mkfs 进行 格式 
化 )， 如 果 想 要 使 


用 外 部 的 磁盘 ， 那 可 以 透 过 ”SAN (内 含 多 个 磁盘 的 设备 )， 然 后 透 过 
iSCSI 等 接口 来 联 


机 ， 当然 ， 还 是 得 要 进行 格式 化 等 动作 (假设 这 个 SAN 尚未 被 使 用 
时 )。 最 后 ， 如 采 


是 NAS 的 条 件 下 ， 那 么 NAS 必须 要 先 透 过 上 自己 的 操作 系统 将 磁盘 装置 
进行 文件 系统 的 


建立 后 ， 再 以 NFS/CIFS 等 方式 来 提供 其 他 主机 挂 载 使 用 。 


接 下 来 ， 网 络 服务 器 、 窜 户 端 系统 、NAS 与 SAN 的 角色 在 区 网 里 面 又 
是 如 何 呢 ? 


我 们 依旧 使 用 维基 百科 的 图 示 来 说 明 一 下 (DAS 是 每 部 主机 内 部 的 磁 
盘 ， 即 后 下 图 标 中 


的 圆柱 体 ): 








net.qiang(Dhotmail.com 


Client 


Ethernet 


FC 
Ethernet 





图 18.1-3、 各 组 件 之 间 的 相关 性 (数据 源 为 注 人 


NAS 可 以 使 用 自己 的 磁盘 ， 也 能 够 透 过 光纤 或 以 太 网 络 取 得 SAN 所 所 
供 的 磁盘 来 


制作 成 为 网 络 文件 系统 ， 提 供 其 他 人 的 使 用 。 Server 可 以 透 过 
NFS/CIFS 等 方式 取得 


NAS 的 文件 系统 ， 当 然 也 能 够 直接 存 取 SAN 的 磁盘 。 客 户 问 主要 则 是 
透 过 网 络 文件 系 


统 ， 并且 直接 使 用 Server 提供 的 网 络 资源 (如 FTP, WWW, mail 等 等 )。 


18.2 iSCSItarget 的 设 定 


能 够 完成 iSCSI target/initiator 设 定 的 项 目 非常 多 ( 注 4)， 乌 哥 找 的 到 的 
就 


有 底下 这 几 个 : 
Linux SCSI target framework (tgt): http://stgt.sourceforge.net/ 
Linux-iSCSI Project: http:/Ninux-iscsi.sourceforge.net/ 


Open-iSCSI: http:/www.open-iscsi.org/ 


| CentOS 6.x 官方 直接 使 用 的 是 tgt 这 个 软件 ， 因 此 底下 我 们 
会 使 用 


tgt 来 介绍 整个 iSCSItarget 的 设 定 喔 ! 

18.2.1 所 需 软 件 与 软件 结构 
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名 

将 tgt 的 软件 名 称 定义 为 scsi-target-utils ， 因 此 你 得 要 使 用 yum 
安装 他 才 行 。 至 于 用 来 作为 initiator 的 软件 则 是 使 用 linux-iscsi 的 项 
目 ， 该 项 目 


所 提供 的 软件 名 称 则 为 iscsi-initiator-utils 。 所 以 ， 总 的 来 说 ， 你 需要 的 
软件 有 : 


scsi-target-utils: 用 来 将 Linux 系统 仿真 成 为 iSCSItarget 的 功能 ; 
iscsi-initiator-utils: 挂 载 来 自 target 的 破 盘 到 Linux 本 机 上 。 
那么 scsi-target-utils 主要 提供 哪些 档案 呢 ? 基本 上 有 底下 几 个 比较 重要 


后 如 
需要 


注意 的 : 


/etc/tgt/targets.conf: 主要 配置 文件 ， 设 定 要 分 享 的 磁盘 格式 与 哪 几 
颗 ; 





/usr/sbin/tgt-admin: 在 线 查 询 、 删 除 target 等 功能 的 设 定 工具 ; 
/usr/sbin/tgt-setup-lun: 建立 target 以 及 设 定 分 享 的 人 磁 檀 与 可 使 用 的 
客户 端 等 工具 软件 。 


/usr/sbin/tgtadm: 手动 直接 管理 的 管理 员工 具 (可 使 用 配置 文件 取 


/usr/sbin/tgtd: 主要 提供 iSCSI target 服务 的 主 程序 ; 
和 建 置 预计 分 享 的 映像 文件 装置 的 工具 (以 映像 文件 仿 








人 磁极); 


其 实 ”CentOS 已 经 将 很 多 功能 都 设 定好 了 ， 因 此 我 们 只 要 修订 配置 文 
件 ， 然 后 局 动 


tgtd 这 个 服务 就 可 以 鄂 ! 接 下 来 ， 就 让 我 们 实际 来 玩 一 玩 iSCSI target 
的 设 定 吧 ! 


18.2.2 target 的 实际 设 定 


从 上 面 的 分 析 来 看 ，iSCSI 惑 是 透 过 一 个 网 络 接口 ， 将 既 有 的 磁盘 给 分 
孚 出 去 就 是 


了 。 那 么 有 哪些 类 型 的 磁盘 可 以 分 享 呢 ? 这 包括 : 
使 用 dd 指令 所 建立 的 大 型 档案 可 供 仿真 为 磁盘 (无 须 预先 格式 化 ); 
使 用 单一 分 割 槽 (partition) 分 享 为 磁盘 ; 
使 用 单一 完整 的 磁盘 (无 须 预 先 分 割 ); 





使 用 磁盘 阵列 分 享 (其 实 与 单一 磁盘 相同 方式 ); 
使 用 软件 磁盘 阵列 (software raid) 分 享 成 单一 磁盘 ; 
使 用 LVM 的 LV 装置 分 享 为 磁盘 。 


人 那么 复杂 ， 我 们 大 概 知道 可 以 透 过 (1) 大 型 档案 ; (2) 单 一 分 割 
下; (3) 


单一 装置 (包括 磁盘 、 数 组 、 软 件 磁盘 阵列 、LVM 的 LV 装置 文件 名 等 
等 ) 来 进行 分 享 。 

在 本 小 节 当 中 ， 我 们 将 透 过 新 的 分 割 产生 新 的 没有 用 到 的 分 割 棍 、 

LVM 逻辑 滚动 条 、 大 


型 档案 等 三 个 吃 史 来 进行 分 享 。 既然 如 此 ， 那 束 得 要 先 来 搞定 这 些 响 吃 
哆 ! 要 注意 喔 ， 


的 数据 ， 最 好 不 要 被 使 用 ， 也 最 好 不 要 开机 束 被 


(/etc/fstab 当中 没有 存在 记录 的 意思 )。 那么 就 来 玩 玩 看 哆 ! 
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建立 所 需要 的 磁盘 装置 


既然 iSCSI 要 分 至 的 是 磁盘 ， 那 么 我 们 得 要 准备 好 啊 ! 目前 预计 准备 的 
磁盘 为 : 


建立 一 个 名 为 /srv/iscsi/disk1.img 的 500MB 档案 ; 
使 用 /dev/sda10 提供 2GB 作为 分 诗 (从 第 一 章 到 目前 为 止 的 分 割 数 ); 


使 用 /dev/server/iscsi01 的 2GB LV 作为 分 享 (再 加 入 5GB /dev/sdall 








到 server VG 中 )。 


实际 处 理 的 方式 如 下 : 

#1. 建立 大 型 档案 : 

[root@www ~]# mkdir /srv/iscsi 

[root@www ~]# dd if=/dev/zero of=/srv/iscsi/disk1.img bs=1M count=500 
[root@www ~]# chcon -Rv -ttgtd_var lib_t /srv/iscsi/ 
[root@www ~]# 1s -lh /srv/iscsi/disk1.img 

-TW-I--I--. 1 root root 500M Aug 2 16:22 /srv/iscsi/disk1.img <== 
容量 对 的 ! 

# 2. 建立 实际 的 partition 分 割 ; 

[root@www ~]# fdisk /dev/sda <== 实 际 的 分 割 方式 目 己 处 理 吧 ! 
[root@www ~]# partprobe <== 某 些 情况 下 得 reboot 喔 ! 
[root@www ~]# fdisk -] 

Device Boot Start End Blocks Id System 

/dev/sda10 2202 2463 2104483+ 83 Linux 

/dev/sdall 2464 3117 5253223+ 8e Linux LVM 


# 只 有 输出 /dev/sda{10,11} 信息 ， 其 他 的 都 省 略 了 。 注 意 看 容量 ， 上 述 


Ja 


谷 





量 单位 KB 
[root@www ~]# swapon -s; mount | grep 'sdal' 


# 目 己 测试 一 下 /dev/sda{10,11} 不 能 够 被 使 用 喔 ! 大 有 被 使 用 ， 请 


umount 


或 swapoff 

#3. 建立 LV 装置 : 

[root@www ~]# pvcreate /dev/sdall 
[root@www ~]# vgextend server /dev/sdall 
[root@www ~]# lvcreate -L 2G -n iscsi01 server 
[root@www ~]# lvscan 

ACTIVE ‘/dev/server/myhome' [6.88 GiB] inherit 
ACTIVE /dev/server/iscsi01' [2.00 GB | inherit 
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规划 分 享 的 iSCSItarget 档 名 


iSCSI 有 一 套 自 己 分 享 target 档 名 的 定义 ， 基 本 上 ， 糙 由 iSCSI 分 享 出 
来 的 


target 档 名 都 是 以 iqn 为 开头 ， 意 思 是 : 
『iSCSI Qualified Name (iSCSI 合格 名 称 )] 
的 意思 ( 注 5)。 那 么 在 iqn 后 面 要 接 啥 档 名 呢 ? 通常 是 这 样 的 : 








iqn.yyyy-mm.<reversed domain name>:identifier 
iqn. 年 年 -月 .单位 网 域名 的 有 反 转 写法 :这 个 分 享 的 target 名 称 
鸟 哥 做 这 个 测试 的 时 间 是 ”2011 年 ”8 月份， 然后 鸟 哥 的 机 器 是 


www.centos.vbird ， 


反 转 网 域 写法 为 vbird.centos， 然后 ， 乌 哥 想 要 的 iSCSI target 名 称 是 





vbirddisk ， 
那么 融 可 以 这 样 写 : 
iqn.2011-08.vbird.centos:vbirddisk 


人 (target 名 称 ) 可 以 具有 多 个 磁盘 一 
站， 我 们 


的 target 也 能 够 拥有 数 个 磁盘 装置 的 。 每 个 在 同一 个 target 上 头 的 磁盘 
我 们 可 以 


将 它 定义 为 逻辑 单位 编号 (Logical Unit Number，LUN)。 我 们 的 iSCSI 
initiator 职 


全 协调 后 才 取 得 LUN 的 存 取 权 就 是 了 ( 注 5)。 在 乌 哥 的 这 个 简 
单 采 例 中 ， 


最 终 的 结果 ， 我 们 会 有 一 个 target ， 在 这 个 target 当中 可 以 使 用 三 个 
LUN 的 磁盘 。 


设 定 tgt 的 配置 文件 /etc/tgt/targets.conf 
接 下 来 我 们 要 开始 来 修改 配置 文件 了 。 基 本 上 ， 配 置 文件 就 是 修改 


/etc/tgt/targets.conf 啦 。 这 个 档案 的 内 容 可 以 改 得 很 简单 ， 最 重要 的 就 


一 点 规定 的 iqn 名 称 ， 以 及 该 名 称 所 对 应 的 装置 ， 然 后 再 给 予 一 些 可 能 
会 用 到 的 参数 


而 已 。 多 说 无 益 ， 让 我 们 实际 来 实 作 看 看 : 











[root@www ~]# vim /etc/tgt/targets.conf 


# 此 档案 的 语法 如 下 : 


<target iqn. 相 关闭 置 的 target 名 称 > 
backing-store /你 的 /虚拟 设备 /完整 档 名 -1 
backing-store /你 的 /虚拟 设备 /完整 档 名 -2 
</target> 

<target iqn.2011-08.vbird.centos:vbirddisk> 
backing-store /srv/iscsi/disk1.img <==LUN 1 (LUN 的 编号 通常 照 顺 
序 ) 

backing-store /dev/sdalo <==LUN 2 
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backing-store /dev/server/iscsi01 <==LUN 3 
</target> 


事实 上 ， 除 了 backing-store 之 外 ， 在 这 个 配置 文件 当中 还 有 一 些 比 较 特 
别 的 参数 可 


以 讨论 看 看 (man tgt-admin): 
backing-store (虚拟 的 装置 ), direct-store (实际 的 装置 ): 设 定 装置 时 ， 
如 果 你 的 整 颗 磁盘 是 全 部 被 拿 来 当 iSCSI 分 享 之 用 ， 那 么 才能 够 使 用 


。 不 过 ， 根 据 网 络 上 的 其 他 文件 ， 似乎 说 明 这 个 设 定 值 有 点 
下 险 


所 以 ， 基 本 上 还 是 建议 单纯 使 用 模拟 的 backing-store 较 佳 。 例 
0 二 


可 的 简单 案例 中 ， 束 通通 使 用 backing-store 而 已 。 











initiator-address (用 户 端 地 址 ): 如 果 你 想 要 限制 能 够 使 用 这 个 target 


才 需 要 填写 这 个 设 定 值 。 基 本 上 ， 不 用 设 定 它 (代表 所 
能 


的 意思 )， 因为 我 们 后 来 会 使 用 iptables 来 规范 可 以 联机 的 客户 端 
呆 ! 

incominguser (用 户 账号 密码 设 定 ): 如 果 除 了 来 源 IP 的 限制 之 外 ， 你 
还 


想 要 让 使 用 者 输入 账 密 才能 使 用 你 的 iSCSI target 的 话 ， 那 么 就 加 用 这 


个 设 定 
项 目 。 此 设 定 后 面 接 两 个 参数 ， 分 别 是 账号 与 密码 哆 。 
write-cache [offlon] (是 否 使 用 快 取 ): 在 预 设 的 情况 下 ，tgtd 会 使 用 


快 取 来 增 快 速度 。 不 过 ， 这 样 可 能 会 有 遗失 数据 的 风险 。 所 以 ， 如 果 你 
的 数据 比 


较 重 要 的 话 ， 或 许 不 要 使 用 快 取 ， 直 接 存 取 装 置 会 比较 受 当 一 些 。 


上 面 的 设 定 值 要 怎么 用 呢 ? 现在， 假设 你 的 环境 中 ， 仪 允许 
192.168.100.0/24 这 


个 网 段 可 以 存 取 iSCSI target， 而 且 存 取 时 需要 帐 密 分 别 为 ”vbirduser， 
vbirdpasswd ， 


此 外 ， 不 要 使 用 快 取 ， 那 么 原本 的 配置 文件 之 外 ， 还 得 要 加 上 这 样 的 参 
数 才 行 (基本 上 ， 


i 底下 的 设 定 是 多 加 测试 用 的 ， 不 需要 填 入 你 的 设 
定 中 )。 











[root@www ~]#vim /etc/tgt/targets.conf 


<target iqn.2011-04.vbird.centos:vbirddisk> 


backing-store /home/iscsi/disk1.img 
backing-store /dev/sda7 
backing-store /dev/server/iscsi01 
initiator-address 192.168.100.0/24 
incominguser vbirduser vbirdpasswd 
write-cache off 


</target> 


局 动 iSCSItarget 以 及 观察 相关 器 口 口 与 磁盘 信息 
再 来 则 是 启动 、 开 机 启动 ， 以 及 观察 iSCSI target 所 启动 的 塌 口 哆 : 
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[root@www ~|]# /etc/init.d/tgtd start 

[root@www ~]# chkconfig tgtd on 

[root@www ~]# netstat -tlunp | grep tgt 

Active Internet connections (only servers) 

Proto Recv-Q Send-Q Local Address Foreign Address State 
PID/Program name 

tcp 0 0 0.0.0.0:3260 0.0.0.0:* LISTEN 

26944/tgtd 


tcp 0 0 :::3260 :::* LISTEN 


26944/tgtd 


# 重点 就 是 那个 3260 TCP 封包 啦 ! 等 一 下 的 防火 墙 务必 要 开放 这 个 塌 
问 ; 


# 观 罕 一 下 我 们 target 相关 信息 ， 以 及 提供 的 LUN 数据 内 容 : 
[root@www ~ 1]# tgt-admin --show 

Target 1: iqn.2011-08.vbird.centos:vbirddisk <== 就 是 我 们 的 target 
System information: 

Driver: iscsi 

State: ready 

LT nexus information: 

LUN information: 

LUN: 0 

Type: controller <== 这 是 个 控制 器 ， 并 非 可 以 用 的 LUN 

喔 ! 

.…( 中 间 省 略 )…. 

LUN: 1 

Type: disk <== 第 一 个 LUN， 是 磁 舟 (disk) 咀 ! 

SCSI ID: IET 00010001 

SCSI SN: beaf11 

Size: 2155 MB <== 容 量 有 这 么 大 ! 


Online: Yes 


Removable media: No 


Backing store type: rdwr 





Backing store path: /dev/sda10 <== 磁 盘 所 在 的 实际 文件 名 
LUN: 2 

Type: disk 

SCSI ID: IET 00010002 

SCSI SN: beaf12 

Size: 2147 MB 

Online: Yes 

Removable media: No 

Backing store type: rdwr 

Backing store path: /dev/server/iscsi01 
LUN: 3 
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0 


Type: disk 

SCSI ID: IET 00010003 
SCSI SN: beaf13 

Size: 524 MB 


Online: Yes 


Removable media: No 

Backing store type: rdwr 

Backing store path: /Srvwiscsi/disk1.img 
Account information: 

vbirduser <== 额 外 的 帐户 信息 

ACL information: 
192.168.100.0/24 <== 额 外 的 来 源 IP 限制 


请 将 上 面 的 信息 对 照 一 下 我 们 的 配置 文件 哟 ! 看 看 有 没有 错误 就 是 了 ! 
尤其 注意 每 个 


LUN 的 容量 、 实际 磁盘 路 径 ! 那个 项 目 不 能 错误 就 是 了 。( 照 理 说 LUN 
的 数字 应 该 与 


backing-store 设 定 的 顺序 有 关 ， 不 过 ， 在 乌 哥 的 测试 中 ， 出 现 的 顺序 并 
不 相同 ! 


此 ， 还 是 需要 使 用 tgt-admin --show 去 查阅 查阅 才 好 ! ) 








设 定 防火 墙 
不 论 你 有 没有 使 用 initiator-address 在 targets.conf 配置 文件 中 ，iSCSI 


target 就 是 使 用 TCP/IP 传输 数据 的 ， 所 以 你 还 是 得 要 在 防火 墙 内 设 定 
可 以 联机 的 客 


户 端 才 行 ! 既然 iSCSI 仅 开 启 3260 塌 口 ， 那 么 我 们 就 这 么 进行 即 可 : 





[root@www ~]# vim /usr/local/virus/iptables/iptables.allow 


iptables -A INPUT -p tcp -s 192.168.100.0/24 --dport 3260 -] ACCEPT 


[root@www ~]# /usr/local/virus/iptables/iptables.rule 

[root@www ~ 1# iptables-save | grep 3260 

-A INPUT -s 192.168.100.0/24 -p tcp -m tcp --dport 3260 -j ACCEPT 

# 最 终 要 看 到 上 述 的 输出 字样 才 是 OK 的 哟 ! 若 有 其 他 用 户 需要 联机 ， 
# 目 行 复制 iptables.allow 内 的 语法 ， 修 改 来 源 端 即 可 。 

18.3 iSCSI initiator 的 设 定 


谈 完 了 target 的 设 定 ， 并 且 观 察 到 相关 target 的 LUN 数据 后 ， 接 下 来 就 


日 
是 要 


来 挂 载 使 用 哎 $。 使 用 的 方法 很 简单 ， ”只 不 过 我 们 得 要 和 安装 额外 的 软件 
来 取得 target 的 


LUN 使 用 权 就 是 了 。 

net.qiang(Ohotmail.com 

0 

0 

18.3.1 所 需 软件 与 软件 结构 

在 前 一 小 节 束 谈 过 了 ， 要 设 定 iSCSI initiator 必须 要 安装 


iscsi-initiator-utils 才 行 。 安 装 的 方法 请 使 用 yum 去 处 理 ， 这 里 不 再 多 讲 
话 。 那 


么 这 个 软件 的 结构 是 如 何 呢 ? 


/etc/iscsi/iscsid.conf: 主要 的 配置 文件 ， 用 来 连结 到 iSCSI target 的 设 
定 ; 


/sbin/iscsid: 启动 iSCSI initiator 的 主要 服务 程序 ; 


/sbin/iscsiadm: 用 来 管理 iSCSI initiator 的 主要 设 定 程序 ; 
/etc/init.d/iscsid: 让 本 机 模拟 成 为 iSCSI initiater 的 主要 服务 ; 


/etc/init.d/iscsi: 在 本 机 成 为 iSCSI initiator 之 后 ， 启 动 此 脚本 ， 让 我 
们 


可 以 登入 iSCSI target。 所 以 iscsid 先 启动 后 ， 才 能 启动 这 个 服务 。 为 了 
防 


采 ， 有 所 以 /etc/init.d/iscsi 已 经 写 了 一 个 局 动 指令 ， 局 动 iscsi 前 尚未 局 

动 iscsid ， 则 会 先 呼叫 iscsid 才 继 续 处 理 iscsi 喔 ! 

老实 说 ， 因 为 /etc/init.d/iscsi 脚本 已 经 包含 了 启动 /etc/init.d/iscsid 的 
步骤 在 里 面 ， 所 以 ， 理 论 上 ， 你 只 要 启动 iscsi 就 好 啦 ! 此 外 ， 那 个 


iscsid.conf 里 


面 大 概 只 要 设 定 好 登入 target 时 的 帐 密 即 可 ， 其 他 的 target 搜寻 、 设 
定 、 取 得 的 

方法 都 直接 使 用 iscsiadm 这 个 指令 来 完成 。 由 于 iscsiadm 侦 测 到 的 结果 
会 直接 写 入 

/var/lib/iscsi/nodes/ 当中 ， 因 此 只 要 启动 /etc/init.d/iscsi 就 能 够 在 下 次 开 
机 


时 ， 自 动 的 连结 到 正确 的 target 嘿 。 那么 就 让 我 们 来 处 理 处 理 整个 过 程 
吧 ( 注 6)! 





18.3.2 initiator 的 实际 设 定 


首先 ， 我 们 得 要 知道 target 提供 了 啥 略 歇 啊 ， 因 此 ， 理 论 上 ， 不 论 是 
target 还 


是 initiator 都 应 该 是 要 我 们 填 理 的 机 器 才 对 。 而 现在 我 们 知道 target 其 
实 有 设 定 


账号 与 密码 的 ， 所 以 确 下 我 们 束 得 要 修改 一 下 iscsid.conf 的 内 容 才 行 。 


修改 /etc/iscsi/iscsid.conf 内 容 ， 并 启动 iscsi 


这 个 档案 的 修改 很 简单 ， 因 为 里 面 的 参数 大 多 已 经 预 设 做 的 不 错 了 ， 所 
以 只 要 填写 


target 登入 时 所 需要 的 帐 密 即 可 。 修改 的 地 方 有 两 个 ， 一 个 是 侦 测 时 
(discovery) 可 


能 会 用 到 的 帐 密 ， 一 个 是 联机 时 (node) 会 用 到 的 帐 密 : 
[root@clientlinux ~]# vim /etc/iscsi/iscsid.conf 
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node.session.auth.username = vbirduser <== 在 target 时 设 定 的 
node.session.auth.password = vbirdpasswd <== 约 在 53, 54 行 
discovery.sendtargets.auth.username = vbirduser <== 约 在 67, 68 行 
discovery.sendtargets.auth.password = vbirdpasswd 
[root@clientlinux ~]# chkconfig iscsid on 


[root@clientlinux ~]# chkconfig iscsi on 


由 于 我 们 尚未 与 target 联机 ， 所 以 iscsi 并 无 法 让 我 们 顺利 启动 的 ! 因此 
上 上面 只 要 


chkconfig 即 可 ， 不 需要 启动 他 。 要 开始 来 侦 测 target 与 写 入 系统 信息 
哆 。 全 部 使 


用 iscsiadm 这 个 指令 就 可 以 完成 所 有 动作 了 。 


侦 测 192.168.100.254 这 部 target 的 相关 数据 


虽然 我 们 已 经 知道 target 的 名 字 ， 不 过 ， 这 里 假设 还 不 知道 啦 ! 因为 有 
可 能 哪 一 


天 你 的 公司 有 钱 了 ， 会 去 买 实体 的 iSCSI 数组 嘛 ! 所 以 这 里 还 是 讲 完整 
的 侦 测 过 程 好 


了 ! 你 可 以 这 样 使 用 : 

[root@clientlinux ~]# iscsiadm -m discovery -t sendtargets -p IP:port 
选项 与 参数 : 

-m discovery : 使 用 侦 测 的 方式 进行 iscsiadmin 指令 功能 ; 

-t sendtargets : 透 过 iscsi 的 协议 ， 侦 测 后 面 的 设备 所 拥有 的 target 数据 


-p IP:port : 束 是 那 部 iscsi 设备 的 IP 与 埋 口 ， 不 与 埋 口 预 设 是 3260 
哆 1 


范例 : 侦 测 192.168.100.254 这 部 iSCSI 设备 的 相关 数据 





[root@clientlinux ~]# iscsiadm -m discovery -t sendtargets -p 
192.168.100.254 

192.168.100.254:3260,1 iqn.2011-08.vbird.centos:vbirddisk 
#192.168.100.254:3260,1 : 在 此 IP, 端口 口上 面 的 target 号 码 ， 本 例 中 为 
target1 

#iqn.2011-08.vbird.centos:vbirddisk : 就 是 我 们 的 target 名 称 啊 ! 
[root@clientlinux ~]#1 -R /var/lib/iscsi/nodes/ 


/var/lib/iscsi/nodes/iqn.2011-08.vbird.centos:vbirddisk 


/var/lib/iscsi/nodes/iqn.2011-08.vbird.centos:vbirddisk/192.168.100.254,326 
0,1 

# 上 面 的 特殊 字体 部 分 ， 就 是 我 们 利用 iscsiadm 侦 测 到 的 target 结果 ! 
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现在 我 们 知道 了 target 的 名 称 ， 同 时 将 所 有 侦 测 到 的 信息 通通 写 入 到 上 
述 


/var/lib/iscsi/nodes/iqn.2011-08.vbird.centos:vbirddisk/192.168.100.254,326 


0,1 目录 内 的 default 档案 中 ， 厦 信息 有 修订 过 的 话 ， 那 你 可 以 到 这 个 档 
案 内 修改 ， 


也 可 以 透 过 iscsiadm 的 update 功能 处 理 相 关 参 数 的 。 


开始 进行 联机 iSCSI target 

i initiator 可 能 会 连接 多 部 的 target 设备 ， 因 此 ， 我 们 得 先 要 
瞧 瞧 

目前 系统 上 面 侦 测 到 的 target 有 几 部 ， 然后 再 找到 我 们 要 的 那 部 target 
来 进行 登 

入 的 作业 。 不 过 ， 如 果 你 想 要 将 所 有 侦 测 到 的 target 全 部 都 登入 的 话 ， 


那么 整个 步 





又 可 以 再 简化 : 
范例 : 根据 前 一 个 步骤 侦 测 到 的 资料 ， 局 动 全 部 的 target 
[root@clientlinux ~]# /etc/init.d/iscsi restart 


正在 停止 iscsi: [确定 ] 


正在 激活 iscsi: [确定 ] 
# 将 系统 里 面 全 部 的 target 通通 以 /var/lib/iscs/nodes/ 内 的 设 定 登 入 


# 上面 的 特殊 字体 比较 需要 注意 啦 ! 你 只 要 做 到 这 里 即 可 ， 底 下 的 瞧 瞧 
束 好 。 


范例 : 显示 出 目前 系统 上 面 所 有 的 target 数据 : 

[root@clientlinux ~]# iscsiadm -m node 

192.168.100.254:3260,1 iqn.2011-08.vbird.centos:vbirddisk 

选项 与 参数 : 

-m node: 找 出 目前 本 机 上 面 所 有 侦 测 到 的 target 信息 ， 可 能 并 未 登入 嘱 
范例 : 仅 登 入 某 部 target ， 不 要 重新 启动 iscsi 服务 

[root@clientlinux ~]# iscsiadm -m node -T target 名 称 --login 

选项 与 参数 : 

-Ttarget 名 称 : 仪 使 用 后 面 接 的 那 部 target ，target 名 称 可 用 上 个 指令 
碍 到 ! 

--login : 束 是 登入 啊 ! 

[root@clientlinux ~]# iscsiadm -m node - 工 
iqn.2011-08.vbird.centos:vbirddisk \ 

> --login 

# 这 次 进行 会 出 现 错误 ， 是 因为 我 们 已 经 登入 了 ， 不 可 重复 登入 喔 ! 


接 下 来 呢 ? 呵呵 ! 很 棒 的 是 ， 我 们 要 来 开始 处 理 这 个 iSCSI 的 磁盘 了 
胁 ! 怎么 处 理 ? 











瞧 一 瞧 ! 

net.qiang(Ohotmail.com 

[root@clientlinux ~]# fdisk -] 

Disk /dev/sda: 8589 MB, 8589934592 bytes <== 这 是 原 有 的 那 颗 磁 盘 ， 略 
过 不 看 

.…( 中 间 省 略 )…. 

Disk /dev/sdc: 2147 MB, 2147483648 bytes 

67 heads, 62 sectors/track, 1009 cylinders 

Units = cylinders of 4154 * 512 = 2126848 bytes 
Sector size (logical/physical): 512 bytes / 512 bytes 
Disk /dev/sdb: 2154 MB, 2154991104 bytes 

67 heads, 62 sectors/track, 1013 cylinders 

Units = cylinders of 4154 * 512 = 2126848 bytes 
Sector size (logical/physical): 512 bytes / 512 bytes 
Disk /dev/sdd: 524 MB, 524288000 bytes 

17 heads, 59 sectors/track, 1020 cylinders 

Units = cylinders of 1003 * 512 = 513536 bytes 
Sector size (logical/physical): 512 bytes / 512 bytes 


你 会 发 现 主机 上 面 多 出 了 三 个 新 的 磁盘 ， 容 量 与 刚刚 在 192.168.100.254 
那 部 iSCSI 


target 上 面 分 享 的 LUN 一 样 大 。 那 这 三 颗 磁 盘 可 以 怎么 用 ? 你 想 怎么 


用 就 怎么 用 啊 ! 


只 是 ， 唯 一 要 注意 的 ， 就 是 iSCSI target 每 次 都 要 比 iSCSI initiator 这 部 
主机 还 


要 早 开 机 ， 人 否则 我 们 的 initiator 您 怕 就 会 出 问题 。 


更 新 /删除 /新 增 target 数据 的 方法 


iSCSI target 可 能 因为 某 些 原因 被 拿 走 了 ， 或 者 是 已 经 不 存在 
于 你 的 区 


网 中 ， 或 者 是 要 送 修 了 ~ 这 个 时 候 你 的 iSCSI initiator 总 是 得 要 关闭 
吧 ! 但 是 ， 又 


不 能 全 部 关 掉 (/etc/init.d/iscsi stop)， 因为 还 有 其 他 的 iSCSI target 在 使 
用 。 


这 个 时 候 该 如 何 取消 不 要 的 target 呢 ? 很 简单 ! 流程 如 下 : 
[root@clientlinux ~]# iscsiadm -m node - 工 targetname --logout 
[root@clientlinux ~]# iscsiadm -m node -o [deletelnewlupdate] - 工 
targetname 

选项 与 参数 : 

--logout : 就 是 注销 target， 但 是 并 没有 删除 /var/lib/iscsi/nodes/ 内 
的 数据 

-0 delete: 删除 后 面 接 的 那 部 target 链接 信息 (/var/lib/iscsi/nodes/*) 
-0 update: 更 新 相关 的 信息 
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-0 new : 增加 一 个 新 的 target 信息 。 

范例 : 关闭 来 自 鸟 哥 的 iSCSItarget 的 数据 ， 并 且 移 除 链接 
[root@clientlinux ~]# iscsiadm -m node <== 还 是 先 秀 出 相关 的 target 
iqn 名 称 

192.168.100.254:3260,1 iqn.2011-08.vbird.centos:vbirddisk 
[root@clientlinux ~]# iscsiadm -m node -T 
iqn.2011-08.vbird.centos:vbirddisk \ 

> --logout 

Logging out of session [sid: 1, target: 
iqn.2011-08.vbird.centos:vbirddisk, 

portal: 192.168.100.254,3260] 

Logout of [sid: 1, target: iqn.2011-08.vbird.centos:vbirddisk, portal: 
192.168.100.254,3260] successful. 

# 这 个 时 候 的 target 连结 还 是 存在 的 ， 虽 然 注销 你 还 是 看 的 到 ! 
[root@clientlinux ~]# iscsiadm -m node -o delete \ 

> -T iqn.2011-08.vbird.centos:vbirddisk 

[root@clientlinux ~]# iscsiadm -m node 

iscsiadm: no records found! <== 嘿 嘿 ! 不 存在 这 个 target 了 一 


[root@clientlinux ~]# /etc/init.d/iscsi restart 


# 你 会 发现 喇 ! 怎么 target 的 信息 不 见 了 ! 这 样 影 了 乎 ! 


如 果 一 切 都 没有 问题 ， 现 在 ， 请 回 到 discovery 的 过 程 ， 重 新 再 将 iSCSI 
target 侦 


测 一 次 ， 再 重新 局 动 initiator 来 取得 那 三 个 磁盘 吧 ! 我 们 要 来 测试 与 利 
用 该 磁盘 哆 ! 


18.3.3 一 个 测试 范例 

到 底 iSCSI 可 以 怎么 用 ? 我 们 就 来 玩 一 玩 。 假 设 : 

1. 你 刚刚 如 同 鸟 哥 的 整个 运作 流程 ， 已 经 在 initiator 上 面 将 target 数据 
清除 了 ; 


2. 现在 我 们 只 知道 iSCSItarget 的 IP 是 192.168.100.254 ， 而 需要 的 帐 





密 是 vbirduser, vbirdpasswd; 

3. 帐 密 信 息 你 已 经 写 入 /etc/iscsi/iscsid.conf 里 面 了 ; 

4. 假设 我 们 预计 要 将 target 的 磁盘 拿 来 当 作 LVM 内 的 PV 使 用 ; 

5. 并 且 将 所 有 的 磁盘 容量 都 给 一 个 名 为 /dev/iscsi/disk 的 LV 使 用 ; 

6. 这 个 LV 会 被 格式 化 为 ext4 ， 且 挂 载 在 /data/iscsi 内 。 

那么 ， 整 体 的 流程 是 : 
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#1. 启动 iscsi ， 并 且 开 始 侦 测 及 登入 192.168.100.254 上 面 的 target 名 称 
[root@clientlinux ~]# /etc/init.d/iscsi restart 

[root@clientlinux ~]# chkconfig iscsi on 


[root@clientlinux ~]# iscsiadm -m discovery -t sendtargets -p 


192.168.100.254 

[root@clientlinux ~]# /etc/init.d/iscsi restart 

[root@clientlinux ~]# iscsiadm -m node 
192.168.100.254:3260,1 iqn.2011-08.vbird.centos:vbirddisk 
#2. 开始 处 理 LVM 的 流程 ， 由 PV, VG, LV 依 序 处 理 喔 ! 
[root@clientlinux ~]#fdisk -] <== 出 现 的 资料 中 你 会 发 现 
/dev/sd[b-dj] 

[root@clientlinux ~]# pvcreate /dev/sd{b,c,d} <== 建 立 PV 去 ! 
Wiping swap signature on /dev/sdb 

Physical volume "/dev/sdb" successfully created 

Physical volume "/dev/sdc" successfully created 

Physical volume "/dev/sdd" successfully created 
[root@clientlinux ~]# vgcreate iscsi /dev/sd{b,c,d} <== 建 六 VG 去 ! 
Volume group "iscsi" successfully created 

[root@clientlinux ~]# vgdisplay <== 要 找到 可 用 的 容量 喝 ! 

--- Volume group --- 

VG Name iscsi 

.…( 中 间 省 略 )…. 

Act PV 3 


VG Size 4.48 GiB 


PE Size 4.00 MiB 

Total PE 1148 <== 就 是 这 玩意 儿 ! 共 1148 个 ! 
Alloc PE/Size 0/0 

Free PE / Size 1148 / 4.48 GiB 

…( 底 下 省 略 )..… 

[root@clientlinux ~]# lvcreate -] 1148 -n disk iscsi 
Logical volume "disk" created 

[root@clientlinux ~]# lvdisplay 

--- Logical volume --- 

LV Name /dev/iscsi/disk 

VG Name iscsi 

LV UUID opR64B-Zeoe-C58n-ipN2-em3O-nUYs-wjEZDP 
LV Write Access read/write 

LV Status available 
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# open0 





LV Size 4.48 GiB <== 注 意 一 下 容量 对 不 对 啊 ! 
Current LE 1148 
Segments 3 


Allocation inherit 


Read ahead sectors auto 

- Currently set to 256 

Block device 253:2 

# 3. 开始 格式 化 ， 并 且 进 行 开 机 上 自动 挂 载 的 动作 ! 
[root@clientlinux ~]# mkfs -t ext4 /dev/iscsi/disk 
[root@clientlinux ~]# mkdir -p /data/iscsi 
[root@clientlinux ~]# vim /etc/fstab 
/dev/iscsi/disk /data/iscsi ext4 defaults, netdev 1 2 
[root@clientlinux ~]# mount -a 

[root@clientlinux ~]# df -Th 

文件 系统 类 型 Size Used Avail Use% 挂 载 点 
/dev/mapper/iscsi-disk 

ext4 4.5G 137M 4.1G 4% /data/iscsi 


比较 特殊 的 是 /etc/fstab 里 面 的 第 四 个 字段 ， 加 上 _netdev (最 前 面 是 底 
线 ) 指 的 是 ， 


因为 这 个 partition 位 于 网 络 上 ， 所 以 得 要 网 络 开 机 局 动 完成 后 才 会 挂 载 
的 意思 。 现 


在 ， 请 让 你 的 iSCSI initiator 重新 启动 看 看 ， 试看 看 重新 启动 系统 后 ， 
你 的 


/data/iscsi 是 否 还 存在 昵 ? 人 人 


然后 ， 让 我 们 切 回 iSCSI target 那 部 主机 ， 研 究 看 看 到 底 谁 有 使 用 我 们 
的 target 














呢 ? 

[root@www ~ 1]# tgt-admin --show 

Target 1: iqn.2011-08.vbird.centos:vbirddisk 

System information: 

Driver: iscsi 

State: ready 

I T nexus information: 

[I_T nexus: 2 

Initiator: iqn.1994-05.com.redhat:71cf137f58f2 <== 不 是 很 
喜欢 的 名 字 ! 

Connection: 0 

IP Address: 192.168.100.10 <== 就 是 这 里 联机 进来 喝 ! 
LUN information: 

…( 后 面 省 略 )..… 
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明明 是 initiator 怎么 会 是 那个 redhat 的 名 字 呢 ? 如果 你 不 介意 那 就 算 


了 ， 如 果 挺 


介意 的 话 ， 那 么 修改 initiator 那 部 主机 的 /etc/iscsi/initiatorname.iscsi 这 
SR 
| 


档案 的 内 容 ， 将 它 变 成 类 似 如 下 的 模样 即 可 : 

Tips: 

不 过 ， 这 个 动作 最 好 在 使 用 target 的 LUN 之 前 融 进 行 ， 否 则 ， 当 
你 使 用 了 LUN 的 磁盘 后 ， 再 修改 这 个 档案 后 ， 你 的 磁盘 文件 名 可 
能 会 改变 。 例 如 鸟 哥 的 案例 中 ， 改 过 initiatorname 之 后 ， 原 本 的 
磁盘 文件 名 竟 变 成 /dev/sd[efg] 了 ! 害 鸟 哥 的 LV 就 不 能 再 度 使 
关于 

#1. 先 在 iSCSI initiator 上 面 进行 如 下 动作 : 





[root@clientlinux ~]# vim /etc/iscsUinitiatorname.iscSsi 
InitiatorName=iqn.2011-08.vbird.centos:initiator 
[root@clientlinux ~]# /etc/init.d/iscsi restart 

#2. 在 iSCSI target 上 而 就 可 以 发 现 如 下 的 数据 修订 了 了 : 
[root@www ~|]# tgt-admin --show 

Target 1: iqn.2011-08.vbird.centos:vbirddisk 

System information: 

Driver: iscsi 

State: ready 


LT nexus information: 


lL_T nexus: 5 

Initiator: iqn.2011-08.vbird.centos:initiator 

Connection: 0 

IP Address: 192.168.100.10 

.…( 后 面 省 略 )…. 

18.4 重点 回顾 
如 果 需 要 大 容量 的 磁盘 ， 通 常会 使 用 RAID 磁盘 阵列 的 架构 ; 
取得 外 部 磁盘 容量 的 作法 ， 主 要 有 NAT 及 SAN 两 大 类 的 方式 ; 


NAT 可 以 想 成 是 一 部 已 经 客 制 化 的 服务 器 ， 主 要 提供 NFS, SMB 等 
网 络 文件 系统 ; 


SAN 则 是 一 种 外 接 是 储存 设备 ， 可 以 透 过 SAN 取得 外 部 的 磁盘 装置 
( 非 文件 系 


统 ); 


SAN 早期 使 用 光纤 信道 ， 由 于 以 太 网 络 的 发 展 ， 近 来 使 用 iSCSI 协议 
在 TCP/IP 


架构 上 面 实 作 ; 


iSCSI 协议 主要 分 为 iSCSI target (提供 磁盘 装置 者 ) 及 iSCSI initiator 
( 存 


取 target 人 厂 租 ); 








iSCSI target 主要 使 用 scsi-target-utils 软件 达成 主要 利用 tgt-admin 及 
tgtadm 指令 完成 : 


一 般 定义 。 target 名称 为 : iqn.yyyy-mm.<reversed domain 


name>:identifier 
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0 
0 


一 部 target 里 面 可 分 享 多 个 磁盘 ， 每 个 厂 盘 都 是 一 个 LUN; 

iSCSI initiator 主要 透 过 iscsi-initiator-utils 软件 达成 链接 到 target 
的 任务 ; 

iscsi-initiator-utils 主要 提供 iscsiadm 来 完成 所 有 的 动作 。 
18.5 本 章 习 题 


0 i 我 们 这 里 仅 在 
测试 ， 


因此 ， 请 将 alient 端的 initiator 关闭 ， 否则 ， 未 来 开机 都 会 怪 怪 的 ! 
(chkconfig iscsi off; vim /etc/fstab 等 等 的 动作 ! ) 
18.6 参考 数据 与 延伸 阅读 

注 1: SAN 与 NAS 在 维基 百科 : 





http://en.wikipedia.org/wiki/Storage area network 
注 2: FreeNAS 了 FF 


注 3: 乌 站 网 友 冻 明 兄 对 iSCSI 的 说 明文 件 : 





http:/inux.vbird.org/somepaper20081205-rhel4-iscsi.pdf 
注 4， 几 个 常见 的 将 Linux 模拟 成 iSCSItarget 与 initiator 的 官网 : 


Linux SCSI target framework (tgt): http://stgt.sourceforge.net/ 


Linux-iSCSI Project: http:/Ninux-iscsi.sourceforge.net/ 
Open-iSCSI: http:/www.open-iscsi.org/ 
注 5: iSCSI 内 的 iqn 及 LUN 意义 说 明 : 
http://en.wikipedia.org/wiki/ISCSI 
注 6: 马 站 之 友 正 明 兄 提供 的 民 好 文献 ， 以 及 相关 的 initiator 设 定 方 


式 : 
http://inux.vbird.org/somepaper/20081205-rhel5-iscsi.pdf 


iSCSI (client) howto: 


http://www.cyberciti.biz/tips/rhel-centos-fedora-linux-iscsi-howto.ht 


ml 
鸟 站 旧版 资料 : 
http:/Ninux.vbird.org/linux basic/0610hardware/0610hardware-fc4.php# 


raid iscsi 


http://rhev-wiki.org/index.php?title=RHEL 5.5/CentOS 5.5 iSCSI Storag 
e_Server 
2011/04/08: 重新 编辑 本 数据 哩 ! 


2011/04/25: 历经 多 个 礼拜 的 杂事 杂 务 缠身 ， 终 于 完成 这 篇 iSCSI 的 模 
拟 应 用 。 应 该 


征 挺 好 玩 的 一 个 噬 噬 一 


2011/08/02: 将 基于 CentOS 5.x 的 版 本 移动 到 此 处 
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第 四 部 分 : 第 见 因 特 网 服务 占 架 设 


讲 到 因特网 服务 器 ， 你 第 一 个 会 想到 的 应 该 就 是 WWW 还 有 FTP 吧 ! 
但 其 实 还 有 一 


个 更 重要 的 你 可 能 会 不 知道 他 的 存在 ， 那 就 是 DNS ! 这 才 是 重点 中 的 
重点 一 因为 我 们 


都 是 使 用 主机 名 来 联机 的 嘛 ! 这 部 份 一 定 会 使 用 到 DNS 服务 器 ， 因 此 
我 们 当然 要 了 解 


一 下 。 ”最 后 再 跟 大 家 报告 邮件 服务 器 ! 这 些 服务 器 的 设 定 以 及 未 来 的 
应 用 是 非常 好 玩 


的 ， 不 过 如 果 最 前 面 的 两 篇 您 没有 预先 读 过 ， ”那么 您 的 服务 器 被 入 侵 
也 是 一 个 可 以 『 预 


期 ] 的 后 果 ! 所 以 蚁 ,看 完 前 两 篇 后 ， 仔 细 的 开始 瞧 一 上 用 这 一 篇 的 服务 
高 上 吧 ! 和 和 
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第 十 帮 章 、 寺 空 制 者 ; DNS 服务 器 


最 近 更 新 日 期 : 2011/08/05 


我 们 都 知道 ， 在 『 记 忆 」 的 角色 上 ， 人 脑 总 是 不 如 计算 机 的 ， 而 人 们 对 


文字 的 印象 又 比 数字 高 。 因 此 ， 


想 要 使 用 纯粹 的 TCP/IP 来 上 网 ， 实 在 不 好 记忆 又 很 麻烦 。 为 了 适应 人 
类 的 使 用 习惯 ， 因 此 一 个 名 为 DNS 


的 服务 ， 帮 我 们 将 主机 名 解析 为 IP 好 让 大 家 只 要 记得 主机 名 就 能 使 用 








Internet 的 吹 吹 加 这 么 诞生 啦 ! 


在 这 一 章 当 中 ， 我 们 会 谈 一 谈 DNS 服务 内 的 正 、 反 解 zone 的 意义 ， 解 
析 主 机 名 的 授权 概念 与 整体 得 询 


流程 ， 以 及 master/slave DNS 服务 的 配置 等 等 哆 ! 赶紧 动 动脑 先 一 


19.1 什么 是 DNS 





/etc/hosts, DNS, FEQDN 


19.1.2 DNS 的 主机 名 对 应 也 的 查询 流程 : 阶层 式 与 TLD, 查询 流程 , 
port 

















19.1.5 DNS 数据 库 的 记录 : 正解 果 , Zone 的 意 > 
19.1.6 DNS 类 和 类 型 ，hint, master/slave 如 松 


19.2 Client 端的 设 定 





19.2.2 DNS 的 正 、 和 查询 指令 ; host, nslookup, dig 





19.3 DNS 服务 器 的 软件 、 种 类 与 cache only DNS 能 设 定 


19.3.1 架设 DNS 所 需要 的 软 





Imessages 


19.4 DNS 服务 器 的 详细 设 定 





19.4.1 正解 文件 记录 的 类 Resource Record, RR): A, NS, SOA, 
CNAME, MX 
19.4.2 孚 》 记录 只 RR 类 : PTR 
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0 


0 


19.6.2 LAME Server 的 问题 


19.6.3 利用 RNDC 指令 管理 DNS 服务 器 





19.1 什么 是 DNS 


DNS 越 来 越 重 要 ， 尤 其 未 来 IPv6 这 个 需要 128bits 地 址 的 玩意 儿 。 因 为 
我 们 连 


IPv4 的 32bits 都 背 不 起 来 了 ， 128bits 要 怎么 背 ? 这 时 主机 名 自动 解析 
为 IP 就 


很 重要 啦 ! 那 就 是 DNS。 但 是 DNS 的 架设 有 点 矿 烦 ， 重 点 是 原理 的 部 
分 比较 不 好 理解 。 


因此 在 这 个 小 节 当 中 ， 让 我 们 先 来 谈 谈 与 网 络 主机 名 有 关 的 一 些 知 识 ， 
这 样 架 设 DNS 才 


不 会 出 问题 。 
19.1.1 用 网 络 主机 名 取得 IP 的 历史 济源 


目前 ee 的 是 所 谓 的 TCP/IP 协议 ， 其 中 IP 为 第 四 版 的 
IPv4 。 不 


过 ， 这 个 IPv4 是 由 32 位 所 组 成 ， 为 了 人 脑 己 经 转 成 四 组 十 进 制 的 数字 
了 ， 例 如 





12.34.56.78 这 样 的 格式 。 当 我 们 利用 Internet 传送 数据 的 时 候 ， 就 需要 
这 个 IP， 


否则 数据 封包 怎么 知道 要 被 送 到 哪里 去 ? 


单一 档案 处 理 上 网 的 年 代 : /etc/hosts 


然而 人 脑 对 于 IP 这 种 数字 的 玩意 儿 ， 记 忆 力 实在 是 不 怎么 样 。 但 是 要 
上 Internet 


又 一 定 需要 卫 ， 怎 么 办 ? 为 了 应 付 这 个 问题 ， 早期 的 朋友 想到 一 个 方 
法 ， 那 吏 是 利用 


菏 些 特定 的 档案 将 主机 名 与 IP 作 一 个 对 应 ， 如 此 一 来 ， 我 们 就 可 以 透 
过 主机 名 来 取 


得 该 主机 的 IP 了 ! 真是 个 好 主意 ， 因 为 人 类 对 于 名 字 的 记忆 力 可 就 好 
多 了 ! 那 就 是 


/etc/hosts 这 个 档案 的 用 途 了 。 


可 惜 的 是 ， 这 个 方法 还 是 有 人 缺憾 的 ， 那 就 是 主机 名 与 卫 的 对 应 无 法 目 
动 于 所 有 的 


计算 机 内 更 新 ， 且 要 将 主机 名 加 入 该 档案 仅 能 向 INTERNIC 注册 ， 若 
IP 数量 太 多 时 ， 


该 档案 会 大 到 不 象 话 ， 也 就 更 不 利于 其 他 主机 同步 化 了 。 ”如 下 图 所 
示 ， 客 户 端 计算 机 


每 次 都 得 要 重新 下 载 一 次 档案 才能 顺利 联网 ! 
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名 称 宫 入 特定 档案 中 


. A 
A 
em 
vy Fn TD 
"~ 7 一 
“A Rr 


扫 一 一 一 一 一 4. 二 特 才 能 章 始 悦 钉 一 一 一 一 一 一 > 
图 19.1-1、 早 期 透 过 单一 档案 进行 网 络 联机 的 示意 网 


在 第 四 章 4.2.1 里 面 我 们 约略 谈 过 /etc/hosts 这 个 档案 的 用 法 ， 基 本 上 该 
档案 
内 容 就 是 [IP 主机 名 主机 别名 一 主机 别名 二 .…」 。 在 里 面 最 重要 的 束 


是 localhost 


对 应 到 127.0.0.1 这 个 噬 噬 ! 你 干 万 不 能 删除 该 笔记 录 的 。 这 里 也 再 次 
强调 ， 在 你 的 


私有 网 域内 部 ， 最 好 将 所 有 的 私有 IP 与 主机 名 对 应 都 写 入 这 个 档案 中 


Wy! 








/A (4 





分 布 式 、 阶 层 式 主 机 名 管理 架构 : DNS 系统 


早期 网 尚未 流行 且 计 算 机 数量 不 多 时 ，/etc/hosts 倒是 还 够 用 的 ， 但 自 
从 90 


代 网 络 热门 化 后 ， 单 一 档案 /etchosts 的 联网 问题 就 发 生 上 面 讲 的 状况 
啦 ! 为 了 解决 

这 个 日 益 严 重 的 问题 ， 柏 克 羔 大 学 发 展 出 男 外 一 套 阶 层 式 管 理 主 机 名 对 
应 IP 的 系统 ， 

我 们 称 它 为 Berkeley Internet Name Domain, BIND ， 这 个 系统 可 就 优秀 
的 多 了 一 透 

过 阶层 式 管 理 ， 可 以 轻松 的 进行 维护 的 工作 一 太 棒 了 ! 这 也 是 目前 全 世 
界 使 用 最 广泛 的 








领域 名 系统 (Domain Name System, DNS) 哩 一 透 过 DNS ， 我 们 不 需要 
知道 首 主机 的 卫 ， 


只 要 知道 该 主机 的 名 称 ， 就 能 够 轻易 的 连 上 该 主机 了 ! 


DNS 利用 类 似 树 状 目 录 的 架构 ， 将 主机 名 的 管理 分 配 在 不 同 层级 的 
DNS 服务 右 当 


中 ， 经 由 分 层 管理 ， 所 以 每 一 部 DNS 服务 器 记忆 的 信息 就 不 会 很 多 ， 
而 且 符 有 耳 姑 


动 时 也 相当 容易 修改 ! 因为 你 如 果 已 经 申请 到 主机 名 解析 的 授权 ， 那 
么 在 你 自己 的 DNS 


服务 器 中 ， 就 能 够 修改 全 世界 都 可 以 查询 到 的 主机 名 了 ! 而 不 用 透 过 上 
层 ISP 的 维护 


呢 ! 上 自己 动手 当然 是 最 快 的 啦 ! 


由 于 目前 的 IPv4 已 经 接近 发 送 完 毕 的 阶段 ， 因 此 未 来 那个 128bits 的 
IPv6 会 


逐渐 热门 起 来 。 那 么 你 需要 背 128bits 的 IP 来 上 网 吗 ? 想必 是 不 可 能 
的 ! 因此 这 个 


0 就 解析 到 IP 的 DNS 服务 ， 可 以 想象 的 到 ， 它 会 越 来 越 
重要 。 此 外 


目前 全 世界 的 WWW 主机 名 也 都 是 透 过 DNS 系统 在 处 理 IP 的 对 应 ， 
所 以 ， 当 DNS 挂 


点 时 ， 我 们 将 无 法 透 过 主机 名 来 联机 ， 那 就 几乎 相当 于 没有 Internet 
下 














因为 DNS 是 这 么 的 重要 ， 所 以 即使 我 们 没有 架设 它 的 必要 时 ， 还 是 得 
要 熟悉 一 下 


它 的 原理 才 好 。 因 此 ， 跟 DNS 有 关 的 FQDN、Hostname 与 IP 的 查询 流 


程 ， 正 解 与 反 


解 。 合 法 授权 的 DNS 服务 器 之 意义 ， 以 及 Zone 等 等 的 知识 作 一 个 认识 
行 ! 
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Tips: 

在 底下 的 说 明 当 中 ， 我 们 有 时 会 提 到 DNS 有 时 会 提 到 BIND ， 这 有 
什么 不 同 ? 由 上 面 的 说 明 里 面 ， 你 可 以 了 解 到 ，DNS 是 一 种 因 特 
网 的 通讯 协议 名 称 ， 至 于 Bind 则 是 提供 这 个 DNS 服务 的 软件 一 

这 样 你 了 解 了 吗 ? ! 


完整 主机 名 : Fully Qualified Domain Name (FQDN) 





第 一 个 与 DNS 有 关 的 主机 名 概念 ， 就 是 『 主 机 名 与 领域 名 (hostname 
and domain 


name)j 的 观念 ， 以 及 由 这 两 者 组 成 的 完整 主机 名 Fuly Qualified 
Domain Name, FQDN 


的 意义 了 。 在 讨论 这 个 主题 之 前 ， 我 们 来 聊 一 聊 比 较 生 活化 的 话题 : 
以 区 域 来 区 分 同名 同姓 者 的 差异 : 网 络 世 界 其 实 有 很 多 人 自称 为 
] 


[ 乌 哥 


J 那么 你 怎么 知道 此 乌 哥 非 彼 乌 哥 呢 ? 这 
上 时 候 你 











nn 
乌 哥 等 。 


那 万 一 台南 还 有 两 个 人 目 称 马 哥 怎么 办 ? 没关系 ， 你 还 可 以 依照 乡镇 来 
区 分 呢 ! 


比如 说 台南 北 区 的 驴 哥 及 台南 中 区 的 鸟 哥 。 ”如果 将 这 个 噬 噬 列 出 来 ， 
就 有 点 像 


征 否 就 可 以 分 辨 每 个 乌 哥 的 不 同 点 了 呢 ? 呵呵 ! 没 错 ! 就 是 这 样 ! 那 
个 地 区 惑 是 


[领域 (domain) 」 ， 而 马 哥 就 是 主机 名 啦 ! 


0 


假如 高 雄 有 个 1234567 而 台南 也 有 个 1234567， 那 么 (1) 你 在 高 雄 直 接 拨 
接 











1234567 时 ， 他 会 直接 挂 入 高 雄 的 1234567 电话 中 ，(2) 但 如 果 你 要 拨 到 


台南 去 ， 


0 
时 那 了 人 


06 区 人 码 就 是 domain name， 而 电话 号 码 就 是 主机 名 啦 ! 


有 没有 一 点 点 了 解 乌 哥 想 表 达 的 啦 ? 我 们 上 面 讲 到 ，DNS 是 以 树 状 目 
录 分 阶层 的 方 


式 来 处 理 主 机 名 ， 那 我 们 知道 树 状 目录 中 ， 那个 目录 可 以 记录 文件 
名 。 那 么 DNS 记录 


的 哪个 咯咯 跟 『 目 录 」 有 关 ? 就 是 那个 领域 名 。 领 域名 确 下 还 可 以 记录 
各 个 主机 名 ， 组 


合 起 来 才 是 完整 的 主机 名 (FQDN)。 
举例 来 说 ， 我 们 常常 会 发 现 主机 名 都 是 Www 的 网 站 ， 例 如 


www.google.com.tw, 














www.seednet.net, www.hinet.net 等 等 ， 那 么 我 们 怎么 知道 这 些 www 名 称 


的 主机 在 不 
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,tw 






Domain name : .tw 
.com.tw Hostname : gov, edu, com 








.Cdu.tw 


ntu.edu.tw 


Domain name : .ksu.edu,tw 
Www,ksu,edu,tw Hostname : www 


Domain name : .edu.tw 
Hostname : ntu, ksu, ncku 
.ncku.edu.tw 





.ksu.edu.tw 


名 
同 的 地 方 呢 ? 就 需要 给 他 领域 名 哆 ! 也 就 


是 .google.com.tw, .seednet.net, .hinet.net 等 等 的 不 同 ， 所 以 即使 你 的 主机 
名 相 








同 ， 但 是 只 要 不 是 在 同一 个 领域 内 ， 那 么 就 可 以 被 分 辨 出 不 同 的 位 置 
嘿 ! 


我 们 知道 目录 树 的 最 顶层 是 根 目 录 ()， 那 么 DNS 既然 也 是 阶层 式 的 ， 
最 顶层 是 


啥 呢 ? 每 一 层 的 domain name 与 hostname 义 该 怎么 分 ? 我 们 举 鸟 哥 所 
在 的 昆山 科大 


的 WWW 服务 器 为 例 好 了 (www.ksu.edu.tw) : 


图 19.1-2、 分 阶层 的 DNS 架构 ， 以 昆山 科大 为 例 (hostname & domain 
name) 


在 上 面 的 例子 当中 ， 由 上 癌 下 数 的 第 二 层 里 面 ， 那 个 .tw 是 domain 


name ， 而 com， 


edu，gov 则 是 主机 的 名 称 ， 而 在 这 个 主机 的 名 称 之 管理 下 ， 还 有 其 他 更 
小 网 域 的 主机 ， 


所 以 在 第 三 层 的 时 候 ， 基 本 上 ， 那 个 edu.tw 束 变 成 了 domain name 了 ! 
而 昆山 科大 


与 成 大 的 ksu, ncku 则 成 为 了 hostname 咖 ! 
以 此 类 推 ， 最 后 得 到 我 们 的 主机 那个 www 是 主机 名 ， 而 domain name 
是 由 














ksu.edu.tw 那个 名 字 所 决定 的 ! 自然 ， 我 们 的 主机 就 是 让 管理 ksu.edu.tw 
这 人 不 


domain name 的 DNS 服务 器 所 管理 的 嘿 ! 这 样 是 否 了 解 了 domain name 


与 hostname 

的 不 同 了 呢 ? 

Tips: 

并 不 是 以 小 数 点 (.) 区 分 domain name 与 hostname 喔 ! 某 些 时 
刻 domain name 所 管理 的 hostname 会 含有 小 数 点 。 举例 来 说 ， 
乌 哥 所 在 的 信息 传播 系 并 没有 额外 的 DNS 服务 器 架设 ， 
因此 我 们 的 

主机 名 为 www.dic ， 而 domain name 还 是 ksu.edu.tw ， 因 此 全 
名 为 www.dic.ksu.edutw 哩 ! 

19.1.2 DNS 的 主机 名 对 应 IP 的 查询 流程 
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其 他 国家 











约略 了 解 了 FQDN 的 domain name 与 hostname 之 后 ， 接 下 来 我 们 要 谈 


YY 


于 大 及 


DNS 的 : (阶层 架构 是 怎样 ? (2) 查 询 原 理 是 怎样 ? 总 是 要 先知 道 架 构 
才能 知道 如 何 


查询 主机 名 的 响 ! 所 以 底下 我 们 移 来 介绍 一 下 整体 的 DNS 阶层 架构 。 








DNS 的 阶层 架构 与 TLD 


我 们 依旧 使 用 台湾 学 术 网 络 的 DNS 服务 器 所 管理 的 各 domain 为 例 ， 将 
最 上 层 到 


昆山 科大 (ksu) 时 ， 之 间 的 各 层 绘制 如 下 图 : 
图 19.1-3、 从 最 上 层 到 昆山 科大 之 间 的 DNS 阶层 示意 图 


在 整个 DNS 系统 的 最 上 方 一 定 是 . (小 数 点 ) 这 个 DNS 服务 器 ( 称 为 
root)， 最 











早 以 前 它 底下 管理 的 就 只 有 (1)com, edu, gov, mil, org, .net 这 种 特殊 领域 
以 及 (2) 


以 国家 为 分 类 的 第 二 层 的 主机 名 了 ! 这 两 者 称 为 Top Level Domains 
(ITLDs) 喔 ! 








一 般 最 上 层 领域 名 (Generic TLDs, gTLD): 例如 .com, .org, .gov 等 等 





国 码 最 上 层 领 域名 (Country code TLDs, ccTLD): 例如 .tw, .uk, .jp, .cn 


4 
= 于 





先 来 谈 谈 一 般 最 上 层 领 域 (gTLD) 好 了 ， 最 早 root 仅 管 理 六 大 领域 名 ， 
分 别 如 下 : 


代表 意义 

com 
公司 、 行 号 、 企 业 
org 

组 织 、 机 构 
net.qiang(Dhotmail.com 
edu 

教育 单位 

goV 

政府 单位 

net 

网 络 、 通 讯 

mil 

军事 单位 

但 是 因特网 成 长 的 速度 太 快 了 ， 因 此 后 来 除了 上 述 的 六 大 类 别 之 外 ， 还 


诸 


人 .info, .jobs ( 注 1) 等 领域 名 的 开放 。 此 外 ， 为 了 让 某 些 国 家 也 能 
多 


己 的 最 上 层 领 域名 ， 因 此 ， 就 有 所 谓 的 ccTLD 了 。 这 样 做 有 什么 好 处 
呢 ? 因为 自己 的 


国家 内 有 最 上 层 ccTLD ， 所 以 如 果 有 domain name 的 需求 ， 则 只 要 癌 
目 己 的 国家 申请 








即 可 ， 不 怖 要 再 到 最 上 层 去 申请 哆 ! 





授权 与 分 层 负责 


既然 TLD 这 么 好 ， 那 么 是 否 我 们 可 以 自己 设 定 TLD 了 昵 ? 当然 不 行 ! 
为 我 们 得 辐 


上 层 ISP 申请 领域 名 的 授权 才 行 。 例 如 台湾 地 区 最 上 层 的 领域 名 是 以 
.tw 为 开头 ， 管 


理 这 个 领域 名 的 机 右 IP 是 在 台湾 ， 但 是 .tw 这 部 服务 器 必须 问 root (.) 
注册 领域 


名 查询 授权 才 行 (如 上 图 19.1-3 所 示 )。 


那么 每 个 国家 之 下 记录 的 主要 下 层 有 哪些 领域 呢 ? 基本 上 残 是 原先 root 
管理 的 


那 六 大 类 。 不 过 ， 由 于 各 层 DNS 都 能 管理 自己 辖 下 的 主机 名 或 子 领 
域 ， 因 此 ， 我 们 


的 .tw 可 以 目 行 规划 自己 的 子 领域 名 喔 ! 例如 目前 台湾 ISP 第 提供 的 
.idv.tw 的 个 


人 网 站 束 古 一 例 啊 ! 
再 强调 一 次 ，DNS “系统 是 以 所 谓 的 阶层 式 的 管理 ， 所 以 ， 请 注意 喔 ! 


那个 .tw 只 


记录 底下 那 一 层 的 这 数 个 主要 的 domain 的 主机 而 已 ! 至 于 例如 edu.tw 
底下 还 有 个 


ksu.edu.tw 这 部 机 右 ， 那 束 直 接 授 权 交 给 edu.tw 那 部 机 器 去 管理 了 ! 也 
束 是 说 『 


个 上 一 层 的 DNS 服务 器 所 记录 的 信息 ， 其 实 只 有 其 下 一 层 的 主机 名 而 
下 小 .全 于 月 下 

















一 屋 ， 则 直接 『 授 权 」 给 下 层 的 某 部 主机 来 管理 鄂 ! 呵呵 ! 所 以 你 就 应 
该 会 知道 DNS 到 





底 是 如 何 管 理 的 吧 ! 
会 这 样 届 定 的 原因 不 是 没有 道理 的 ! 这 样 设计 的 好 处 就 是 ， 每 部 机 器 管 
理 的 只 有 下 


一 层 的 hostname 对 应 IP 而 已 ， 所 以 减少 了 管理 上 的 困扰 ! 而 下 层 
Client 端 如 果 有 


问题 ， 只 要 询问 上 一 层 的 DNS server 即 可 ! 不 需要 跨越 上 层 ， 除 错 上 面 
也 会 比较 简单 


昵 ! 


透 过 DNS 但 询 主机 名 IP 的 流程 
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刚刚 说 过 DNS 是 以 类 似 『 树 状 目录 」 的 型 态 来 进行 主机 名 的 管理 的 ! 
所 以 每 一 部 


DNS 服务 器 都 『 仅 管理 上 自己 的 下 一 层 主机 名 的 转译 」 而 已 ， 至 于 下 层 








的 下 层 ， 则 『 授 


权 」 给 下 层 的 DNS 主机 来 管理 啦 ! 这 样 说 好 像 很 绕 口 ， 好 吧 ! 我 们 就 
以 下 图 来 说 一 说 


原理 史 . 
图 19.1-4、 透 过 DNS 系统 查询 主机 名 解 译 的 流程 


首先 ， 当 你 在 浏览 器 的 网 址 列 输入 _http:/www.ksuedutw_ 时， 你 的 计算 
机 融会 


ds (在 Linux 底下 就 是 利用 /etc/resolv.conf 这 个 档案 ) 所 提供 
入 DNS 


的 卫 去 进行 联机 查询 了 。 由 于 目前 最 常见 的 DNS 服务 右 束 属 Hinet 的 
168.95.1.1 


这 个 DNS， 所 以 我 们 残 拿 他 来 做 例子 吧 ! 嗯 ! 这 个 时 候 ，hinet 的 这 部 
服务 器 会 这 样 工 


作 : 
1. 收 到 用 户 的 查询 要 求 ， 先 伍 看 本 身 有 没有 纪录 ， 有 无 则 癌 . 查询 : 


由 于 DNS 是 阶层 式 的 架构 ， 每 部 主机 都 会 管理 自己 辖 下 的 主机 名 解 译 
而 已 。 

为 hinet 并 没有 管理 台湾 学 术 网 络 的 权力 ， 因此 就 无 法 直接 回报 给 客户 
端 。 此 

二 168.95.1.1 就 会 癌 最 顶层 ， 也 就 是 . (roob 的 服务 器 查询 相关 IP 信 


2. 问 最 顶层 的 . (root) 查询 : 


168.95.1.1 会 主动 的 向 . 询问 www.ksu.edu.tw 在 哪里 呢 ? 但 是 由 于 .只 
证 























pn 


录 了 .tw 的 信息 (因为 台湾 只 有 .tw 辐 .注册 而 已 )， 此 时 . 会 告知 『 我 是 


IP 啦 ， 不 过 ， 你 应 该 向 .tw 去 询问 才 对 ， 我 这 里 不 
和 和 


跟 你 说 .tw 在 哪里 吧 ! ] 

3. 向 第 二 层 的 .tw 服务 器 查询 : 

168.95.1.1 接着 又 到 .tw 去 查询 ， 而 该 部 机 器 管理 的 又 仅 

有 .edu.tw, .com.tw, gov.tw… 那 几 部 主机 ， 经 过 比 对 后 发 现 我 们 要 的 
是 .edu.tw 的 网 域 ， 所 以 这 个 时 候 .tw 又 告诉 168.95.1.1 说 : 『 你 要 去 管 
理 .edu.tw 这 个 网 域 的 主机 那里 查询 ， 我 有 他 的 IP! | 
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4. 问 第 三 层 的 .edu.tw 服务 器 查询 : 


同 理 可 证 ， .edu.tw 只 会 告诉 168.95.1.1 ， 应 该 要 去 .ksu.edu.tw 进行 查 
询 ， 


这 里 只 能 告知 .ksu.edu.tw 的 IP 而 已 。 
5. 向 第 四 层 的 .ksu.edu.tw 服务 器 查询 : 
等 到 168.95.1.1 找到 .ksu.edu.tw 之 后 ， Bingo ! .ksu.edu.tw 说 : 
[ 没 错 ! 
这 部 主机 名 是 我 管理 的 一 我 跟 你 说 他 的 耳 是 … 所 以 此 时 168.95.1.1 就 能 
够 查 到 www.ksu.edu.tw 的 他 鹃 ! 
6. 记录 和 暂 存 内 存 并 回报 用 户 : 
查 到 了 正确 的 IP 后 ，168.95.1.1 的 DNS 机 器 总 不 会 在 下 次 有 人 查询 





www.ksu.edu.tw ”的 时 候 再 跑 一 次 这 样 的 流程 吧 ! ， 粉 远 粉 累 的 响 ! 而 且 
也 很 耗 系 


统 的 资源 与 网 络 的 带宽 ， 所 以 昵 ，168.95.1.1 这 个 DNS 会 很 聪明 的 先 记 
录 一 份 


| 
最 后 见 


将 结果 回报 给 client 端 ! 当然 啦 ， 那 个 记忆 在 cache 当中 的 数据 ， 其 实 
是 有 


AE 


时 间 性 的 ， 当 过 了 DNS 设 定 记忆 的 时 间 (通常 可 能 是 24 小 时 )， 那 么 该 
记录 束 


会 被 释放 喔 ! 


整个 分 层 查 询 的 流程 就 是 这 样 ， 忆 是 得 要 先 经 过 . 来 癌 下 一 层 进行 碍 
询 ， 最 终 总 


是 能 得 到 答案 的 。 这 样 分 层 的 好 处 是 : 
主机 名 修改 的 仅 需 自己 的 DNS 更 动 即 可 ， 不 需 通知 其 他 人 : 


天 人 
王 何 一 


0 
们 会 一 
人 
尔 的 上 层 


DNS 服务 器 的 纪录 才 行 ! 因此 ， 只 要 你 的 主机 名 字 是 经 过 上 层 『 合 法 
的 DNS」 服 


务 器 设 定 的 ， 那 么 就 可 以 在 Internet 上 面 被 查询 到 啦 ! 呵呵 ! 很 简单 维 
护 吧 ， 





























机 动 性 也 很 高 。 
DNS 服务 器 对 主机 名 解析 结果 的 快 取 时 间 : 


由 于 每 次 查询 到 的 结果 都 会 储存 在 DNS 服务 器 的 高 速 缓存 中 ， 以 方便 
在下 次 有 


相同 需求 的 解析 时 ， 能 够 快速 的 啊 应 。 不 过 ， 碍 询 结果 已 经 被 快 取 
了 ， 但 是 原 


始 DNS 的 主机 名 与 IP 对 应 却 修 改 了 ， 此 时 知 有 人 再 次 查询 ， 系统 可 能 
会 回报 


日 的 IP 喔 ! 所 以 ， 在 快 取 内 的 答案 是 有 时 间 性 的 ! 通常 是 数 十 分 钟 到 
二 大 过 人 
这 也 是 为 什么 我 们 常 说 当 你 修改 了 一 个 domain name 之 后 ， 可 能 要 2 ~ 
3 天 后 
才能 全 面 的 启用 的 缘故 啦 ! 

可 持续 加 下 授权 ( 子 领域 名 授权 ): 


以 记录 主机 名 与 卫 对 应 的 DNS 服务 器 都 可 以 随意 更 动 他 自己 


库 对 应 ， 因此 主机 名 与 域名 在 各 个 主机 底下 都 不 相同 。 举 例 来 说 ， 


idv.tw 是 


仅 有 台湾 才 有 这 个 idv 的 网 域 一 因为 这 个 idv 是 由 .tw 所 管理 的 ， 所 以 
全 要 


台湾 .tw 维护 小 组 同意 ， 就 能 够 建立 该 网 域 哩 ! 


好 啦 ! 既然 DNS 这 么 棒 ， 然 后 我 们 又 需要 架 站 ， 所 以 需要 一 个 主机 的 
名 称 ， 那 么 


我 们 需要 架设 DNS 了 吗 ? 当然 不 是 ， 为 什么 呢 ? 刚刚 乌 哥 提 到 了 很 多 
次 的 『 合 法 」 的 
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字眼 ， 因 为 他 就 幸 涉 到 『 授 权 」 的 问题 了 ! 们 在 第 十 章 当中 也 提 


||， 只 要 主 2 





法 即 可 ， 不 见得 需要 染 设 DNS 的 啦 ! 


透 过 dig 实 作出 本 小 节 谈 到 的 . --> .tw --> .edu.tw --> .ksu.edu.tw --> 


www.ksu.edu.tw 的 查询 流程 ， 并 分 析 每 个 查询 阶段 的 DNS 服务 器 有 几 


部 ? 
似 
FE。 


事实 上 ， 
用 追踪 


功能 (+trace) 就 能 够 达到 这 个 目的 了 。 使 用 方式 如 下 : 


这 个 指令 来 实 作出 喔 ! 使 





[rootOwww~#dig +trace www.ksu.edu.tw 

; <<>> DiG 9.3.6-P1-RedHat-9.3.6-16.P1.el5 <<>>+trace www.ksu.edu.tw 
;; global options: printcmd 

. 486278 IN NS a.root-servers.net. 

. 486278 IN NS b.root-servers.net. 

.…( 底 下 省 略 )…. 

# 上 面 的 部 分 在 奶 躁 . 的 服务 器 ， 可 从 a ~ m.root-servers.net. 

;; Received 500 bytes from 168.95.1.1#53(168.95.1.1) in 22 ms 


tw. 172800 IN NS ns.twnic.net. 


tw. 172800 IN NS a.dns.tw. 

tw. 172800 IN NS b.dns.tw. 

…( 底 下 省 略 )..… 

# 上 和 面 的 部 分 在 退 踩 .tw. 的 服务 器 ， 可 从 a~ h.dns.tw. 包括 
ns.twnic.net. 

;; Received 474 bytes from 192.33.4.12#53(c.root-servers.net) in 168 
ms 

edu.tw. 86400 IN NS a.twnic.net.tw. 

edu.tw. 86400 IN NS b.twnic.net.tw. 

# 追踪 .edu.tw. 的 则 有 7 部 服务 器 

;; Received 395 bytes from 192.83.166.11#53(ns.twnic.net) in 22 ms 
ksu.edu.tw. 86400 IN NS dns2.ksu.edu.tw. 

ksu.edu.tw. 86400 IN NS dns3.twaren.net. 

ksu.edu.tw. 86400 IN NS dnsl.ksu.edu.tw. 

;; Received 131 bytes from 192.83.166.9#53(a.twnic.net.tw) in 22 ms 
www.ksu.edu.tw. 3600 IN A 120.114.100.101 

ksu.edu.tw. 3600 IN NS dns2.ksu.edu.tw. 

ksu.edu.tw. 3600 IN NS dns1.ksu.edu.tw. 

ksu.edu.tw. 3600 IN NS dns3.twaren.net. 


;; Received 147 bytes from 120.114.150.1#53(dns2.ksu.edu.tw) in 14 ms 


最 终 的 结果 有 找到 A (Address) 是 120.114.100.101， 不 过 这 个 例题 的 重 
点 日 


-Re 
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让 大 家 有 瞧 瞧 整 个 DNS 的 搜寻 过 程 ! 在 dig 加 上 +trace 的 选项 后 ， 束 能 
够 达到 这 


个 目的 。 至 于 其 他 的 都 是 服务 器 (NS) 的 设 定 值 与 妃 踪 过 程 咀 ! 有 没有 


很 清楚 啊 ? 


人 人 人。 至 于 A 与 NS 等 相关 的 数据 ， 我 们 在 后 续 的 DNS 数据 库 介绍 中 ， 


再 分 别 介绍 


嘱 。 





DNS 使 用 的 port number 


好 了 ， 既 然 DNS 系统 使 用 的 是 网 络 的 查询 ， 那 么 上 自然 需要 有 监听 的 
port 哆 ! 没 


错 ! 很 合理 ! 那么 DNS 使 用 的 是 那 一 个 port 呢 ? 那 就 是 53 这 个 port 
啦 ! 你 可 以 


到 你 的 Linux 底下 的 /etc/services 这 个 档案 看 看 ! 搜寻 一 下 domain 这 个 
关键 词 ， 


就 可 以 查 到 53 这 个 port 啦 ! 
但 是 这 里 需要 跟 大 家 报告 的 是 ， 通 常 DNS 查询 的 时 候 ， 是 以 udp 这 个 
较 快速 的 数 


气 传 输 协 议 来 得 询 的 ，“ 但 是 万 一 没有 办 法 得 询 到 完整 的 信息 时 ， 惑 会 
再 次 的 以 tcp 这 





个 协定 来 重新 查询 的 ! 所 以 启动 DNS 的 daemon (就 是 named 啦 ) 时 ， 
会 同时 局 动 tcp 


及 udp 的 port 53 喔 ! 所 以 ， 记 得 防火 墙 也 要 同时 放行 tcp, udp port 53 
呢 ! 


19.1.3 合法 DNS 的 关键 : 申请 领域 查询 授权 


什么 ? DNS ”服务 器 的 架设 还 有 『 合 法 」 与 『 不 合法 」 之 分 喔 ? 不 是 像 
其 他 的 服务 器 


一 样 ， 架 设 好 之 后 人 家 束 但 的 到 吗 ? ” 非 也 非 也 ! 为 什么 呢 ? 确 下 我 们 


就 来 谈 一 谈 。 








加 上 层 领域 注册 取得 合法 的 领域 查询 授权 





日 .引信 


是 需要 花 钱 


啦 ! 那么 注册 取得 的 资料 有 两 种 ， 一 种 是 第 十 章 谈 到 的 ”FQDN (主机 
名 )， 一 种 就 是 申请 


领域 查询 权 。 所 请 的 FQDN 就 是 我 们 只 需要 主机 名 ， 详 细 的 设 定数 据 
就 由 ISP 帮 我 们 


搞定 。 例 如 图 19.1-4 所 示 ， 那 部 www.ksu.edu.tw 的 详细 主机 名 对 应 IP 
的 数据 就 


是 请 管理 .ksu.edu.tw 那个 领域 的 服务 器 搞定 的 。 


入 旺 领 域 杏 询 极 权 呢 了 同 检 19.1-4 来 解释 ， 我 们 的 .ksu.edu.tw 
必须 


要 问 .edu.tw 那 部 主机 注册 申请 领域 授权 ， 因 此 ， 未 来 有 任何 
.ksu.edu.tw 的 要 求 


时 ， .edu.tw 都 会 说 : 『 我 不 知道 ! 详情 请 去 找 .ksu.edutw 吧 ! 」 此 








时 ， 我 们 融 


得 要 架设 DNS 服务 器 来 设 定 .ksu.edu.tw 相关 的 主机 名 对 应 才 行 喔 ! 是 
否 很 像 人 类 


社会 的 【授权 」 的 概念 ? 
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伺服 如 管理 的 资料 库 记 尔 的 内 容 
授权 的 domain : .org 


申请 的 用 户 : www.godaddy.com(NS) 


授权 的 domain ; .vbird,org 


申请 的 用 户 : 


dns,ybird.org > NS (140,116.…) 


避 未 的 纪 伯 
dnsvbirdore > A (140.116:…) 
linux.vbird.org > A (140.116.…*) 





也 就 是 说 ， 当 你 老板 充分 的 『 授 权 」 给 你 某 项 工作 的 时 候 ， 从 此 ， 要 进 
行 该 项 工作 


的 任何 人 ， ”从 老板 那 边 知 道 你 才 是 真正 『 有 权 4 的 人 之 后 ， 都 必须 要 
加 你 请 示 一 样 ! 


人 人 人 ! 所 以 哪 ， 如 果 你 要 架设 DNS ， 而 且 是 可 以 连 上 Internet 上 面 的 
DNS 时 ， 你 就 


必须 要 透 过 『 上 层 DNS 服务 器 的 授权 」 才 行 ! 这 是 很 重要 的 观念 喔 ! 


0 
到 ， 尔 


两 种 方式 : 





1. 上 层 DNS 授权 领域 查询 权 ， 让 你 自己 设 定 DNS 服务 器 ， 或 者 是 ; 
2. 直接 请 上 层 DNS 服务 器 来 帮 你 设 定 主机 名 对 应 ! 


拥有 领域 查询 权 后 ， 所 有 的 主机 名 信息 都 以 自己 为 准 ， 与 上 层 无 关 
很 多 朋友 可 能 都 有 过 申请 DNS 领域 查询 授权 的 经 验 ， 在 申请 时 ，ISP 就 


会 要 你 填 


写 (1) 你 的 DNS 服务 器 名 称 以 及 (2) 该 服务 器 的 IP。 既 然 已 经 在 ISP 就 
填写 了 主机 


名 与 IP 的 对 应 ， 所 以 ， 即 使 我 的 DNS 服务 器 挂 点 了 ， 在 ISP 上 面 的 主 
机 名 应 该 还 是 


查 到 的 IP 吧 ? 答案 是 : 『 错 ! 」 碍 不 到 的 ! 为 什么 呢 ? 


DNS “系统 记录 的 信息 非常 的 多 ， 不 过 重点 其 实 有 两 个 ， 一 个 是 记录 服 
务 吉 所 在 的 NS 


(NameServer) 标志 ， 男 一 个 则 是 记录 主机 名 对 应 的 A (Address) 标志 。 
我 们 在 网 络 上 


面 查询 到 的 最 终结 果 ， 都 是 查询 IP (IP Address) 的 ， 因 此 最 终 的 标志 要 
找 的 是 A 这 


个 记录 才 对 ! 我 们 以 鸟 哥 注册 的 ”.vbird.org ”来 说 明 好 了 ， 乌 哥 去 注册 
时 ， 记录 在 ISP 


的 DNS 服务 器 名 称 为 dns.vbird.org， 该 笔记 录 其 实 就 是 NS ， 并 非 A ， 
如 下 图 所 示 : 


图 19.1-5、 记 录 的 授权 主机 名 与 实际 A 记录 的 差异 
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上 图 中 ， 虽 然 在 godaddy 服务 器 内 有 记录 一 笔 『 要 得 询 .vbird.org 时 ， 


请 到 


dns.vbird.org (NS) 去 得 ， 这 个 管理 者 的 IP 是 140.116...」 ， 但 是 这 笔记 
目 . 关 F 


六 八 和 下 口 


诉 我 们 要 去 下 一 个 服务 器 找 ， 并 不 是 最 终 的 A (IP Address) 的 答案 ， 所 


往 下 找 ” (随时 记得 图 _19.1-4 的 查询 流程 )。 此 时 ， 有 几 种 结果 会 导致 
dns.vbird.org 的 IP 找 不 到 ， 或 者 是 最 终 的 IP 与 godaddy 记录 的 不 同 的 
结 采 喔 ! 那 就 是 : 

dns.vbird.org 服务 器 挂 点 时 : 如 果 dns.vbird.org 这 部 主机 挂 点 ， 那 么 
在 上 图 显示 『 人 查询 」 第 头 的 步 又 会 被 中 断 ， 因 此 束 会 出 现 『 联 机 不 到 


dns.vbird.org 的 IP」 的 结果 。 因 为 无 论 如 何 ，DNS 系统 都 会 去 找到 最 后 


| 





含有 A 地 址 的 记录 啊 ! 

熙 dns.vbird.org 服务 器 内 的 数据 库 态 记 补 上 数据 时 : 如果 鸟 哥 在 自己 的 
务 器 数据 库 中 ， 忘 记 加 上 dns.vbird.org 的 记录 时 ， 最 终 的 结果 还 是 会 显 
示 『 找 

不 到 该 服务 器 的 IP」; 

和 服务 器 内 的 数据 库 数 据 编 写 不 一 至 时 : ”如 果 是 在 鸟 哥 自 


| 数据 库 内 的 dns.vbird.org 所 记录 的 IP 与 godaddy 的 不 同 ， 最 终 
8 


结果 会 以 乌 哥 记录 的 为 准 。 


总 之 ， 你 在 ISP 上 面 填写 的 主机 名 只 是 一 个 参考 用 的 ， 最 终 还 是 要 在 你 





自己 DNS 


服务 器 当中 设 定 好 才 行 ! 虽然 可 以 自己 恶搞 一 下 ， 不 过 ， 通 常 大 家 还 
是 会 让 ISP 上 面 


的 DNS 服务 器 主机 名 与 自己 的 数据 库 主机 名 一 致 ， 亦 即 上 图 中 ， 中 间 
与 最 下 面 方 框 内 


的 dns.vbird.org 的 NS 及 A 都 对 应 到 同一 个 IP 就 是 了 。 
19.1.4 主机 名 交 由 ISP 代 管 还 是 自己 设 定 DNS 服务 器 


前 面 19.1.3 小 节 以 及 第 十 章 都 谈 过 ， 申 请 主机 名 或 域名 主要 有 两 种 方 
式 ， 就 是 刚 


刚 上 头 提 到 的 DNS 授权 ， 或 者 是 直接 交 给 ISP 来 管理 。 交 给 ISP 管理 
的 ， 就 可 以 称 


作 是 域名 代 管 啦 ! 当然 啦 ， 如 宁 你 是 学 校 单位 的 话 ， ”或 者 是 企业 内 部 
的 小 单位 ， 那 么 


束 得 请 你 同上 层 DNS 主机 的 负责 人 要 求 哆 ! 无 论 如 何 ， 你 只 能 有 两 个 
选择 束 是 了 ， 要 


不 就 是 请 他 帮忙 你 设 定好 hostname 对 应 IP ， 要 啊 就 是 请 他 直接 将 某 个 
domain name 


段 授权 给 你 做 为 DNS 的 主要 管理 网 域 。 


那么 我 怎么 知道 那个 方式 对 我 比较 好 呢 ? 请 注意 ， 由 于 DNS 架设 之 
后 ， 会 多 出 一 


个 监听 的 port ， 所 以 理论 上 ， 是 比较 不 安全 的 ! 而 且 ， 由 于 因特网 现在 
都 是 透 过 主机 


名 在 联机 ， 在 了 解 上 面谈 到 的 主机 名 查询 流程 后 ， 你 会 用 现 ，DNS 设 


定 错误 是 很 要 命 


的 ! 因为 你 的 主机 名 再 也 找 不 到 了 。 所 以 ， 这 里 的 建议 是 : 























需要 架设 DNS 的 时 机 : 
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你 所 负责 需要 连 上 Internet 的 主机 数量 庞大 : 例如 你 一 个 人 负责 整个 
十 几 部 的 网 络 Server， 而 这 些 Server 都 是 挂 载 你 的 公司 网 域 之 下 的 。 这 
个 时 
候 想 要 不 架设 DNS 也 粉 难 啦 ! 


你 可 能 需要 时 和 常 修 改 你 Server 的 名 字 ， 或 者 是 你 的 Server 有 随时 增 





可 能 性 与 变动 性 ; 
不 需要 架设 DNS 的 时 机 : 
网 络 主机 数量 很 少 : 例如 家 里 或 公司 只 有 需要 一 部 mail server 时 ; 
你 可 以 直接 请 上 层 DNS 主机 管理 员 帮 你 设 定好 Hostname 的 对 应 时 ; 


尔 对 于 DNS 的 认 知 不 足 时 ， 如 果 架 设 反 而 容易 造成 网 络 不 通 的 情 
Wa 


架设 DNS 的 费用 很 高 时 ! 
19.1.5 DNS 数据 库 的 记录 : 正解 , 反 解 , Zone 的 意义 
从 前 面 的 图 19.1-4 的 查询 流程 中 ， 我 们 知道 最 重要 的 就 是 .ksu.edu.tw 那 
部 








DNS ”服务 器 内 的 记录 信息 了 。 这 些 记录 的 噬 吃 我 们 可 以 称呼 为 数据 
库 ， 而 在 数据 库 里 面 


针对 每 个 要 解析 的 领域 (domain)， 就 称 为 一 个 区 域 (zone)。 那 么 到 底 有 


哪些 要 解析 的 


领域 呢 ? 基 本 上 ， 有 从 主机 名 查 到 IP 的 流程 ， 也 可 以 从 IP 反 查 到 主机 
名 的 方式 。 


为 最 早 前 DNS 的 任务 就 是 要 将 主机 名 解析 为 也 ， 因 此: 
从 主机 名 查询 到 TP 的 流程 称 为 正解 
从 下 反 解 析 到 主机 名 的 流程 称 为 反 解 
不 管 是 正解 还 是 反 解 ， 每 个 领域 的 记录 就 是 一 个 区 域 (zone) 


举例 来 说 ， 昆 山 科 大 DNS 服务 器 管理 的 就 是 *.ksu.edu.tw 这 个 领域 的 查 
询 权 ， 


TU *.ksu.edu.tw 主机 名 的 卫 都 得 癌 昆 山 科 大 的 DNS 服务 器 
查询 ， 贞 


时 .ksu.edu.tw “就 是 一 个 『 正 解 的 领域 」。 而 昆山 科大 有 申请 到 几 个 
class C 的 子 域 ， 


例如 120.114.140.0/24， 如 果 这 254 个 可 用 IP 都 要 设 定 主机 名 ， 那 么 这 
个 
| 


120.114.140.0/24 就 是 一 个 『 反 解 的 领域 ] ! 另外 ， 每 一 部 DNS 服务 器 
都 可 以 管理 


多 个 领域 ， 不 管 是 正解 还 是 反 解 。 














正解 的 设 定 权 以 及 DNS 正解 zone 记录 的 标志 


那 谁 可 以 申请 正解 的 DNS 服务 占 架 设 权 呢 ? 管 采 是 : 都 可 以 ! 只 要 该 
领域 没有 人 


使 用 ， 那 你 先 抢 到 了 ， 就 能 够 使 用 了 。 不 过 ， 因 为 国际 INTERNIC 已 
经 定义 出 gTLD 以 


及 ccTLD 了 ， 所 以 你 不 能 自 定 义 例如 centos.vbird 这 种 网 域 的 ! 还 是 得 


一休 全 下层 

DNS 所 给 予 的 领域 范围 才 行 。 举 例 来 说 ， 人 台湾 个 人 网 站 就 常 使 用 
*.idv.tw 这 样 的 领域 

名 。 
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那 正解 文件 的 zone 里 面 主要 记录 了 什么 东西 呢 ? 因为 正解 的 重点 在 由 
主机 名 大 
询 到 IP， 而 且 每 部 DNS 服务 器 还 是 得 要 定义 清楚 ， 同 时 ， 你 可 能 还 需 


要 架设 


master/slave 架构 的 DNS 环境 ， 因 此 ， 正 解 zone 通常 具有 底下 几 种 标 
二 


DAN 

















SOA: 就 是 开始 验证 (Start of Authority) 的 缩写 ， 相 关 资 料 本 章 后 续 


小 
节 说 明 ; 


PS 束 是 名 称 服务 器 (NameServer) 的 缩写 ， 后 面 记录 的 数据 是 DNS 
服 


器 的 意思 ; 
A: 就 是 地 址 (Address) 的 缩写 ， 后 面 记 录 的 是 卫 的 对 应 (最 重要 ); 








反 解 的 设 定 权 以 及 DNS 反 解 zone 记录 的 标志 


正解 的 领域 名 只 要 符合 INTERNIC 及 你 的 ISP 规范 即 可 ， 取 得 授权 较为 
简单 (上 自 


己 取 名 字 )。 那 反 解 呢 ? 反 解 主要 是 由 IP 找到 主机 名 ， 因 此 重点 是 IP 的 





所 有 人 是 谁 


啦 ! 因为 卫 都 是 INTERNIC 发 放 给 各 家 ISP 的 ， 而 且 我 们 也 知道 ，IP 
可 不 能 乱 设 定 


(路 由 问题 )! 所 以 哪 ， 能 够 设 定 反 解 的 就 只 有 IP 的 拥有 人 ， 亦 即 你 的 
ISP 才 有 权力 


设 定 反 解 的 。 那 你 向 ISP 取得 的 IP 能 不 能 自己 设 定 反 解 呢 ? 答案 是 不 
行 ! 除非 你 取 


得 的 是 整个 class C 以 上 等 级 的 IP 网 段 ， 那 你 的 ISP 才 有 可 能 给 你 IP 反 
解 授 权 。 


人 否则， 大 有 肥 解 的 需求 ， 束 得 要 问 你 的 直属 上 层 ISP 申请 才 行 ! 


那么 反 解 的 zone 主要 记录 的 信息 有 哪些 呢 ? 除了 服务 器 必 备 的 NS 以 及 
SOA 之 


外 ， 最 重要 的 就 是 : 


pe 束 是 指 问 (PoinTeR) 的 缩写 ， 后 面 记 录 的 数据 就 是 反 解 到 主机 
嘿 ! 








每 部 DNS 都 需要 的 正解 zone: hint 


现在 你 知道 一 个 正解 或 一 个 反 解 就 可 以 称 为 一 个 zone 了 ! 那么 有 没有 


那个 zone 


是 特别 重要 的 呢 ? 有 的 ， 那 就 是 . 啊 ! 从 图 19.1-4 里 面 我 们 就 知道 ， 当 
DNS 服务 


器 在 自己 的 数据 库 找 不 到 所 需 的 信息 时 ， 一 定 会 去 找 . ， 那 . 在 哪里 
啊 ? 所 以 就 得 


要 有 记录 . 在 哪里 的 记录 zone 才 行 啊 ! 这 个 记录 . 的 zone 的 类 型 ， 吏 
被 我 们 称 为 


hint 类 型 ! 这 几乎 是 每 个 DNS 服务 器 都 得 要 知道 的 zone 喔 ! 


所 以 说 ， 一 部 简单 的 正解 DNS 服务 器 ， 基 本 上 就 要 有 两 个 zone 才 行 ， 
= 


hint ， 一 个 是 关于 自己 领域 的 正解 zone。 举 乌 哥 注册 的 vbird.org 为 例 ， 
在 乌 哥 的 


DNS 服务 器 内 ， 人 至 少 就 要 有 这 两 个 zone: 

hint (root): 记录 . 的 zone; 

vbird.org: 记录 .vbird.org 这 个 正解 的 zone。 
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你 会 发 现 我 没有 vbird.org 这 个 domain 所 属 卫 的 反 解 zone ， 为 什么 
呢 ? 请 


参考 上 面 的 详细 说 明 吧 ! 简单 的 说 ， 就 是 因为 反 解 需 要 要 求 IP 协议 的 
上 层 来 设 定 才 





好 了 ， 正 反 解 需 不 需要 成 套 产 生 ， 在 这 里 不 用 多 说 明了 吧 ? 和 人! 请 注 
意 喔 ， 在 很 


多 的 情况 下 ， “无 其 是 目前 好 多 英名 其 妙 的 领域 名 产生 出 来 ， 所 以 ， 第 
常会 只 有 正解 的 


设 定 需求 而 已 。 不 过 也 不 需要 太 过 担心 啦 ， 因为 通 冲 在 反 碍 的 情况 
中 ， 如 果 你 是 使 用 








目前 台湾 地 区 最 流行 的 ADSL 上 网 的 话 ， 那 么 ISP 早 就 已 经 帮 你 设 定 好 
反 解 了 ! 例如 : 


211.74.253.91 这 个 seednet 的 浮动 式 IP 反 查 的 结果 会 得 到 





211-74-253-91.adsl.dynamic.seed.net.tw， 这样 的 主机 名 ! 所 以 在 一 般 我 们 
自行 申请 


领域 名 的 时 候 ， 你 只 要 担心 正解 的 设 定 即 可 ! ”不 然 的 话 ， 肥 正 反 解 的 
授权 根本 也 不 会 
开放 给 你 ， 你 自己 设 定 得 很 高 兴 也 没有 用 呀 ! ^^ 


需要 正 反 解 成 对 需求 的 大 概 仪 有 mail server 才 需 要 吧 ! 由 于 目 
前 网 络 


融 宽 老 是 补 垃圾、 广告 邮件 占 光 ， 所 以 Internet 的 社会 对 于 合法 的 mail 


server 规 


定 也 就 越 来 越 严格 。 如 果 你 想 要 架设 mail server 时 ， 最 好 具有 固定 IP 
， 这 样 才 能 














回 你 的 ISP 要 求 设 定 反 解 喔 ! 以 hinet 为 例 的 反 解 申请 : 
http://hidomain.hinet.net/top1.html 
19.1.6 DNS 数据 库 的 类 型 : hint, master/slave 架构 


你 知道 的 ，DNS ” 越 来 越 重 要 ， 所 以 ， 如 果 你 有 注册 过 领域 名 的 话 ， 束 
可 以 发 现 ， 现 


在 ISP 都 要 你 填写 两 部 DNS 服务 器 的 IP 哩 ! 因为 要 作为 备 援 之 用 嘛 ! 
总 不 能 一 部 


DNS 挂 点 后 ， 害 你 的 所 有 主机 名 都 不 能 被 找到 一 那 真 及 烦 一 
但 是 ， 如 果 有 两 部 以 上 的 “DNS 服务 器 ， 那 么 网 络 上 会 搜寻 到 哪 一 部 


呢 ? 答案 是 ， 





不 知道 ! 因为 是 随机 的 一 所 以 ， 如 果 你 的 领域 有 两 部 DNS 服务 器 的 
话 ， 那 这 两 部 DNS 


服务 器 的 内 容 束 得 完全 一 模 一 样 ， 否 则 ， 由 于 是 随机 找到 DNS 来 询 
问 ， 因 此 知 数据 不 


同步 ， 很 可 能 造成 其 他 用 户 无 法 取得 正确 数据 的 问题 。 


Ws 因此 在 . (root) 这 个 hint 类 型 的 数据 库 档 案外 ， 还 
两 和 


基本 类 型 ， 分 别 是 Master (主人 、 主 要 ) 数据 库 与 Slave ( 妈 隶 、 次 要 ) 数 
据 库 类 型 。 


这 个 Master/Slave 就 是 要 用 来 解决 不 同 DNS 服务 器 上 面 的 数据 同步 问 
题 的 。 所 以 底 


下 让 我 们 来 聊 聊 Master/Slave 吧 ! 
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Master: 


这 种 类 型 的 DNS 数据 库 中 ， 里 面 所 有 的 主机 名 相关 信息 等 ， 通 通 要 管 
理 员 目 己 手 


动 去 修改 与 设 定 ， 设 定 完毕 还 得 要 重新 局 动 DNS 服务 去 读 取 正确 的 数 
据 库 内 容 ， 才 算 
完成 数据 库 更 新 。 一 般 来 说 ， 我 们 说 的 DNS 架设 ， 就 是 指 设 定 这 种 数 
据 库 的 类 型 。 同 








时 ， 这 种 类 型 的 数据 库 ， 还 能 够 提供 数据 库 内 容 给 slave 的 DNS 服务 器 
喔 ! 


Slave: 


a 通常 你 不 会 只 有 一 部 DNS 服务 顺 ， 例 如 我 们 前 面 的 例题 奉 
询 到 


的 .ksu.edu.tw 束 有 3 部 DNS 服务 器 来 管理 自己 的 领域 。 那 如 果 每 部 
DNS 我 们 都 是 


使 用 Master 数据 库 类 型 ， 当 有 用 户 向 我 要 求 要 修改 或 者 新 增 、 删 除数 
据 时 ， 一 笔 数 


据 我 就 得 要 做 三 次 ， 还 可 能 会 不 小 心 手 滑 导 致 某 几 部 出 现 错误 ， 此 时 可 
就 伤 脑筋 了 一 因 


此 ， 这 时 使 用 Slave 类 型 的 数据 库 取 得 方式 就 很 有 用 ! 


Slave 必须 要 与 Master 相互 搭配 ， 若 以 .ksu.edu.tw 的 例子 来 说 ， 如 果 我 
必须 


要 有 三 部 主机 提供 DNS 服务 ， 且 三 部 内 容 相 同 ， 那么 我 只 要 指定 一 部 
服务 器 为 


Master ， 其 他 两 部 为 该 Master 的 Slave 服务 器 ， 那 么 当 要 修改 一 笔名 称 
对 应 时 ， 我 


只 要 手动 更 改 Master 那 部 机 器 的 配置 文件 ， 然 后 ， 重 新 启动 BIND 这 
个 服务 后 ， 呵 呵 ! 


其 他 两 部 Slave 就 会 自动 的 被 通知 更 新 了 ! 这 样 一 来 ， 在 维护 上 面 可 囊 
轻松 写意 的 多 


了 一 











Tips: 


如 果 你 设 定 Master/Slave 架构 时 ， 你 的 Master 主机 必须 要 限制 
只 有 某 些 特定 IP 的 主机 能 够 取得 你 Master 主机 的 正 反 解数 据 库 
权限 才 好 ! 所 以 ， 上 面 才 会 提 到 Master/Slave 必须 要 互相 搭配 才 


人 
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Master / Slave 的 查询 优先 权 ? 


i 既然 我 的 所 有 DNS 服务 器 是 需要 同时 提供 internet 上 面 的 领域 名 
解析 的 


服务 ， 所 以 不 论 是 Master 还 是 Slave 服务 器 ， 他 都 必须 要 可 以 同时 提 
供 DNS 的 服 


务 才 好 ! 因为 在 DNS 系统 当中 ， 领 域名 的 僵 询 是 『 先 抢先 万 」 的 状 
态 ， 我 们 不 会 晓得 


哪 一 部 主机 的 数据 会 先 被 查询 到 的 ! 为 了 提供 良好 的 DNS 服务 ， 每 部 
DNS 主机 都 要 


能 正常 工作 才 好 啊 ! 而 且 ， 每 一 部 DNS 服务 器 的 数据 库 内 容 需 要 完全 


造成 客户 端 找到 的 IP 是 错误 的 ! 
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D 
Master / Slave 数据 的 同步 化 过 程 


那么 Master/Slave 的 数据 更 新 到 底 是 如 何 动作 的 呢 ? 请 注意 ，Slave 是 





来 自 Master 的 数据 啊 ! 所 以 当然 Slave 在 设 定之 初 就 需要 存在 Master 
才 行 喔 ! 基 


本 上 ， 不 论 Master 还 是 Slave 的 数据 库 ， 都 会 有 一 个 代表 该 数据 库 新 旧 
的 了 序号 」， 


这 个 序号 数值 的 大 小 ， 是 会 影响 是 否 要 更 新 的 动作 哨 ! ”至 于 更 新 的 方 
式 主要 有 两 种 : 


0 主动 告知 : 例如 在 Master 在 修改 了 数据 库 内 容 ， 并 且 加 大 数 
据 


2 重新 启动 DNS 服务 ， 那 master 会 主动 告知 slave 来 更 新 数据 





此 时 就 能 够 达成 数据 同步 ; 
由 Slave 主动 提出 要 求 : 基本 上 ， Slave 会 定时 的 向 Master 察看 数据 
库 





由 当 发 现 Master 数据 库 的 序号 比 Slave 自己 的 序号 还 要 大 (代表 
比较 


新 )， 那 么 Slave 就 会 开始 更 新 。 如 宁 序 号 不 变 ， 那么 就 判断 数据 库 没 
有 更 动 ， 

因此 不 会 进行 同步 更 新 。 

由 上 面 的 次 明 来 看 ， 其 实 设计 数据 库 的 序号 最 重要 的 目的 就 是 让 


master/slave 数 


据 的 同步 化 。 那 我 们 也 知道 slave 会 同 master 提出 数据 库 更 新 的 需求 ， 


问题 是 ， 


久 提 出 一 次 更 新 ， 如 果 该 次 更 新 时 由 于 网 络 问题 ， 所 以 没有 查询 到 
master 的 序号 ( 亦 








即 更 新 失败 )， 那 隔 多 久 会 重新 更 新 一 次 ? 这 个 与 SOA 的 标志 有 关 ， 后 
续 谈 到 正 、 反 解 


数据 库 后 ， 再 来 详细 说 明 吧 ! 


如 果 你 想 要 架设 Master/Slave 的 DNS 架构 时 ， 两 部 主机 (Master/Slave) 
都 需 


要 你 能 够 掌控 才 行 ! 网 络 上 很 多 的 文件 在 这 个 地 方 都 有 点 『 闪 失 】」， 请 
特别 的 留意 啊 ! 


因为 乌 哥 的 DNS 服务 器 凋 常 会 听 到 茶 些 其 他 DNS 的 数据 库 同步 化 二 
求 ， 真 觉得 烦 响 ! 


19.2 Client 端的 设 定 


由 于 DNS 是 每 部 想 要 连 上 因特网 的 主机 都 得 要 设 定 的 ， 因 此 我 们 就 从 
简单 的 客户 


端 设 定 谈 起 。 因 为 未 来 架设 好 DNS server 后 ， 我 们 都 会 直接 进行 测试 ， 
所 以 ， 这 个 音 


分 得 先 处 理 处 理 比 较 妥当 啊 ! 
19.2.1 相关 配置 文件 


从 _19.1.1 的 说 明 当 中 我 们 晓得 主机 名 对 应 到 IP 有 两 种 方法 ， 早 期 的 方 
法 是 直接 


写 在 档 采 里 面 来 对 应 ， 后 来 比较 新 的 方法 则 是 透 过 DNS 架构 ! 那么 这 
两 种 方法 分 别 使 


用 什么 配置 文件 ?可 不 可 以 同时 存在 ? 各 同时 存在 时 ， 那 个 方法 优 
先 ? 咽 [我 们 洗 来 


谈 一 谈 几 个 配置 文件 吧 ! 


/etc/hosts : 这 个 是 最 早 的 hostname 对 应 IP 的 档案 ; 
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/etc/resolv.conf : 这 个 重要 ! 就 是 ISP 的 DNS 服务 器 卫 记录 处 ; 
/etc/nsswitch.conf: 这 个 档案 则 是 在 『 决 定 」 先 要 使 用 /etc/hosts 还 是 
/etc/resolv.conf 的 设 定 ! 


Linux 的 预 设 主机 名 与 卫 的 对 应 搜寻 都 以 /etcwhosts 为 优 


什么 呢 ? 你 可 以 查看 一 下 /etc/nsswitch.conf ， 并 找到 hosts 的 项 目 : 





[root@www ~]# vim /etc/nsswitch.conf 


hosts: files dns 


上 面 那 个 ”files 就 是 使 用 /etc/hosts， 而 最 后 的 ”dns 则 是 使 用 


/etc/resolv.conf 


的 DNS 服务 器 来 进行 搜寻 啦 ! 因此 ， 你 可 以 先 以 /etc/hosts 来 设 定 卫 对 


啦 ， 你 也 可 以 将 他 调换 过 来 ， 不 过 ， 总 是 /etc/hosts 比较 简单 ， 所 以 将 
他 择 在 前 面 比 


较 好 啦 ! 


好 啦 ， 既 然 我 们 是 要 进行 DNS 测试 的 ， 那 么 就 得 要 了 解 一 下 
/etc/resolv.conf 的 


内 容 ， 假 设 你 在 台湾 ， 使 用 的 是 hinet 的 168.95.1.1 这 部 DNS 服务 器 ， 
所 以 你 应 该 


这 样 写 : 

[root@www ~]# vim /etc/resolv.conf 
nameserver 168.95.1.1 

nameserver 139.175.10.20 


DNS 服务 器 的 IP 可 以 设 定 多 个 ， 为 什么 要 设 定 多 个 呢 ? 因为 当 第 一 部 
( 照 设 定 的 顺序 ) 


DNS 挂 点 时 ， 我 们 客户 端 可 以 使 用 第 二 部 (上 述 是 139.175.10.20) 来 进 
行 查 询 ， 这 多 


少 有 点 像 DNS 备 援 功能 。 通 币 建议 至 少 填写 两 部 DNS 服务 器 的 IP， 
不 过 在 网 络 正 帝 


使 用 的 情况 下 ， 永 远 只 有 第 一 部 DNS 服务 器 会 被 使 用 来 查询 ， 其 他 的 
设 定 值 只 是 在 第 


一 部 出 问题 时 才 会 被 使 用 。 

Tips: 

尽量 不 要 设 定 超过 3 部 以 上 的 DNS IP 在 /etc/resolv.conf 中 ， 
因为 如 果 是 你 的 区 网 出 问题 ， 导 致 无 法 联机 到 DNS 服务 器 ， 那 么 你 
的 主机 还 是 会 向 每 部 DNS 服务 器 发 出 联机 要 求 ， 每 次 联机 都 有 
timeout 时 间 的 等 待 ， 会 导致 浪费 非常 多 的 时 间 喔 ! 

例题 : 

我 的 主机 使 用 DHCP 取得 了 ， 很 奇怪 的 ， 当 我 修改 过 /etc/resolv.conf 


隔 不 多 和 久 这 个 档案 又 会 恢复 成 原本 的 样子 ， 这 是 什么 原因 ? 该 如 
可 


理 ? 


答 -， 
Er 


因为 使 用 DHCP 时 ， 系 统 会 主动 的 使 用 DHCP 服务 器 传 来 的 数据 进行 


一 
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必 

值 。 此 时 ， 你 得 要 在 /etc/sysconfig/network-scripts/ifcfg-eth0 等 相关 
档案 内 ， 增 加 一 行 : 『PEERDNS=no」， 然 后 重新 启动 网 络 即 可 。 

此 外 ， 如 果 你 有 启动 CentOS 6.x 的 NetworkManager 服务 ， 有 时候 也 可 


能 会 
产生 一 些 奇 特 的 现象 哩 ! 所 以 乌 哥 是 建议 关 掉 它 的 ! 和 和 
19.2.2 DNS 的 正 、 反 解 查 询 指令 : host, nslookup, dig 


测试 DNS 的 程序 有 很 多 ， 我 们 先 来 使 用 最 简单 的 host 吧 ! 然后 还 有 
nslookup 及 





dig 哩 ! 


host 
[root@www ~]# host [-al FQDN [server] 
[root@www ~]# host -| domain [server] 


选项 与 参数 : 


-a: 代表 列 出 该 主机 所 有 的 相关 信息 ， 包 括 IP、TTL 与 除 错 讯 县 等 等 


-| : 知 后 面 接 的 那个 domain 设 定 允许 allow-transfer 时 ， 则 列 出 该 
domain 


所 管理 的 所 有 主机 名 对 应 数据 ! 


server: 这 个 参数 可 有 可 无 ， 当 想 要 利用 非 /etc/resolv.conf 内 的 DNS 主 


机 

来 查询 主机 名 与 卫 的 对 应 时 ， 就 可 以 利用 这 个 参数 了 ! 

#1. 使 用 默认 值 来 查 出 linux.vbird.org 的 IP 

[root@www ~|]# host linux.vbird.org 

linux.vbird.org has address 140.116.44.180 <== 这 是 IP 
linux.vbird.org mail is handled by 10 linux.vbird.org. <== 这 是 MX (后 
续 章 节 说 明 ) 

# 2. 查 出 linux.vbird.org 的 所 有 重要 参数 

[root@www ~ 1# host -a linux.vbird.org 

Trying "linux.vbird.org" 


;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56213 


;; flags: gr rd ra QUERY: 1, ANSWER: 1, AUTHORITY: 


ADDITIONAL: 0 
;; QUESTION SECTION: 
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;linux.vbird.org. IN ANY 


;; ANSWER SECTION: 

linux.vbird.org. 145 IN A 140.116.44.180 

;; AUTHORITY SECTION: 

vbird.org. 145 IN NS dns.vbird.org. 

vbird.org. 145 IN NS dns2.vbird.org. 

Received 86 bytes from 168.95.1.1#53 in 15 ms <== 果 然 是 从 168.95.1.1 
取得 的 资料 


# a 不 就 是 dig 的 输出 结果 ? 所以， 我们 才 会 说 ， 使 用 dig 才 是 
王道 ! 


# 3. 强制 以 139.175.10.20 这 部 DNS 主机 来 查询 
[root@www ~|]# host linux.vbird.org 139.175.10.20 
Using domain server: 

Name: 139.175.10.20 

Address: 139.175.10.20#53 

Aliases: 

linux.vbird.org has address 140.116.44.180 


linux.vbird.org mail is handled by 10 linux.vbird.org. 


看 到 最 后 一 个 范例 ， 有 注意 到 上 面 输出 的 特殊 字体 部 分 吗 ? 很 多 朋友 在 
测试 自己 的 DNS 


时 ， 常 常会 [指定 到 错误 的 DNS 查询 主机 」 了 一 因为 他 们 的 


/etc/reslov.conf 忘记 


改 ， 所 以 老 是 找 不 到 自己 设 定 的 数据 库 IP 数据 。 所 以 你 要 仔细 看 啊 ! 
#4. 找 出 vbird.org 领域 的 所 有 主机 对 应 

[root@www ~]# host -] vbird.org 

; Transfer failed. 

Host vbird.org not found: 9(NOTAUTH) 

; Transfer failed. <== 苋 然 失 败 了 ! 请 看 底下 的 说 明 ! 


怎么 会 无 法 啊 应 呢 ? 这 样 的 啊 应 是 因为 管理 vbird.org 领域 的 DNS 并 不 
许 我 们 的 领 


域 查询 ， 毕 苋 我 们 不 是 vbird.org 的 系统 管理 员 ， 当 然 没 有 权限 可 以 读 取 


整个 





vbird.org 的 领域 设 定 嗓 ! 这 个 『 host -1 」 是 用 在 自己 的 DNS 服务 器 
上 ， 本 章 稍 后 


谈 到 服务 器 设 定 后 ， 使 用 这 个 选项 残 能够 读 取 相关 的 数据 了 。 


nslookup 
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[root@www ~]# nslookup [FQDN | [server] 

[root@www ~]# nslookup 

选项 与 参数 : 

1. 可 以 直接 在 nslookup 加 上 行 碍 询 的 主机 名 或 者 是 IP ， 
[server] 可 有 可 


无 ; 
2. 如 果 在 nslookup 后 面 没 有 加 上 任何 主机 名 或 IP ， 那 将 进入 nslookup 
的 查询 功能 


在 nslookup 的 查询 功能 当中 ， 可 以 输入 其 他 参数 来 进行 特殊 查询， 例 
如 : 


set type=any : 列 出 所 有 的 信息 『 正 解 方面 配置 文件 ] 
set type=mx : 列 出 与 mx 相关 的 信息 ! 


#1. 直接 搜寻 mail.ksu.edu.tw 的 IP 信息 





[root@www ~]# nslookup mail.ksu.edu.tw 

Server: 168.95.1.1 

Address: 168.95.1.1#53 <== 还 是 请 特别 注意 DNS 的 IP 是 否 
确 ! 

Non-authoritative answer: 

Name: mail.ksu.edu.tw 

Address: 120.114.100.20 <== 回 报 IP 给 你 嗓 ! 


nslookup 可 单纯 的 将 hostname 与 卫 对 应 列 出 而 已 ， 不 过 ， 还 是 会 将 碍 
询 的 DNS 主 


机 的 IP 列 出 来 的 ! 如果 想 要 知道 更 多 详细 的 参数 ， 那 可 以 直接 进入 
nslookup 这 个 


软件 的 操作 画面 中 ， 如 下 范例 : 


[root@www ~]# nslookup <== 进 入 nslookup 查询 画面 





> 120.114.100.20 <== 执 行 反 解 的 查询 

> www.ksu.edu.tw <== 执 行 正解 的 查询 

# 上 和 面 这 两 个 仅 列 出 正 有 反 解 的 信息 ， 没 有 喻 了 不 起 的 地 方 啦 ! 
> set type=any <== 变 更 查询 ， 不 是 仅 有 A， 全 部 信息 都 列 出 来 
> www.ksu.edu.tw 

Server: 168.95.1.1 

Address: 168.95.1.1#53 

Non-authoritative answer: 

Name: www.ksu.edu.tw 

Address: 120.114.100.101 <== 这 是 答案 

Authoritative answers can be found from: <== 这 是 相关 授权 DNS 说 明 
ksu.edu.tw nameserver = dns2.ksu.edu.tw. 

ksu.edu.tw nameserver = dns1.ksu.edu.tw. 

dns1.ksu.edu.tw internet address = 120.114.50.1 

dns2.ksu.edu.tw internet address = 120.114.150.1 
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> exit <== 离 开 吧 ! 皮卡 丘 


在 上 面 的 案例 当中 ， 请 注意 ， 如 果 你 在 nslookup 的 查询 画面 当中 ， 输 入 
set type=any 


或 其 :他 参数 ， 那么 就 无 法 再 进行 反 解 的 查询 了 ! 这 是 因为 any 或 者 是 


mx 等 等 的 标志 


都 是 记录 在 正解 zone 当中 的 缘故 ! 


dig (未 来 的 主流 ， 请 爱 用 他 ! ) 
[root@www ~]# dig [options] FQDN [server] 


选项 与 参数 : 


@server : 如 果 不 以 /etc/resolv.conf 的 设 定 来 作为 DNS 查询 ， 可 在 此 填 


入 其 他 的 IP 

options: 相关 的 参数 很 多 ， 主 要 有 +trace, -ttype 以 及 -x 三 者 最 常用 
+trace : 就 是 从 .开始 追踪 ， 在 19.1.2 里 面谈 过 了 ! 回头 瞧 瞧 去 ! 
-ttype: 查询 的 数据 主要 有 mx, ns, soa 等 类 型 ， 相 关 类 型 19.4 来 介绍 
-x : 查询 反 解 信息 ， 非 常 重 要 的 项 目 ! 

#1. 使 用 默认 值 查询 linux.vbird.org 吧 ! 








[root@www ~ 1]# dig linux.vbird.org 

; <<>> DiG 9.7.0-P2-RedHat-9.7.0-5.P2.el6_0.1 <<>> linux.vbird.org 
;; global options: +cmd 

;; GOt answer: 

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 37415 


;; flags: gr rd ra QUERY: 1, ANSWER: 1, AUTHORITY: 
ADDITIONAL: 0 


;; QUESTION SECTION: <== 提 出 的 问题 的 部 分 


;linux.vbird.org. IN A 


;; ANSWER SECTION: <== 主 要 的 回答 阶段 

linux.vbird.org. 600 IN A 140.116.44.180 

;; AUTHORITY SECTION: <== 其 他 与 此 次 回答 有 关 的 部 分 

vbird.org. 600 IN NS dns.vbird.org. 

vbird.org. 600 IN NS dns2.vbird.org. 

;; Query time: 9 msec 

;; SERVER: 168.95.1.1#53(168.95.1.1) 

;; WHEN: Thu Aug 4 14:12:26 2011 

;; MSG SIZE rcvd: 86 
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在 这 个 范例 当中 ， 我 们 可 以 看 到 整个 显示 出 的 讯 轧 包括 有 几 个 部 分 : 
QUESTION( 问 题 ): 显示 所 要 查询 的 内 容 ， 因 为 我 们 是 查询 


linux.vbird.org 





的 IP， 所 以 这 里 显示 A (Address); 


ANSWER( 回 答 ): 依据 刚刚 的 QUESTION 去 查询 所 得 到 的 结果 ， 答 
案 就 是 回答 


IP 啊 ! 


| 


AUTHORITY( 验 证 ): 由 这 里 我 们 可 以 知道 linux.vbird.org 是 由 哪 部 
DNS 


服务 器 所 提供 的 答案 ! 结果 是 dns.vbird.org 及 dns2.vbird.org 这 两 部 主 
机 


管理 的 。 男 外 ， 那 个 600 是 啥 噬 吃 ? 图 19.1-4 提 到 过 的 流程 ， 就 是 允许 





查询 


者 能 够 保留 这 笔记 录 多 久 的 意思 ( 快 取 )， 在 linux.vbird.org 的 设 定 中 ， 


预 设 

可 以 保留 600 秒 。 

#2. 查询 linux.vbird.org 的 SOA 相关 信息 吧 ! 
[root@www ~|]# dig -t soa linux.vbird.org 

; <<>> DiG 9.7.0-P2-RedHat-9.7.0-5.P2.el6 0.1 <<>> -t soa 
linux.vbird.org 

;; global options: +cmd 

;; Got answer: 


;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 57511 


;; flags: gr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 


ADDITIONAL: 0 

;; QUESTION SECTION: 
;linux.vbird.org. IN SOA 

;; AUTHORITY SECTION: 

vbird.org. 600 IN SOA dns.vbird.org. 
root.dns.vbird.org. 

2007091402 28800 7200 720000 86400 
;; Query time: 17 msec 


;; SERVER: 168.95.1.1#53(168.95.1.1) 


1, 


;; WHEN: Thu Aug 4 14:15:57 2011 
;; MSG SIZE rcvd: 78 


由 于 dig 的 输出 信息 实在 是 太 丰 富 了 ， 义 分 成 多 个 部 分 去 进行 回报 ， 因 
此 很 适合 作为 


DNS 退 踪 回报 的 一 个 指令 昵 ! 你 可 以 透 过 这 个 指令 来 了 解 一 下 你 所 设 
定 的 DNS 数据 库 


是 否 正 确 ， 并 进行 除 错 喔 ! 和 人 和信! 此 外 ， 你 也 可 以 透 过 『 -ttype 」 的 功 
能 去 查询 其 


他 服务 器 的 设 定 值 ， 可 以 方便 你 进行 设 定 DNS 服务 顺 时 的 参考 喔 ! 正 
解答 询 完毕 ， 接 


下 来 玩 一 玩 反 解 吧 ! 


# 3. 查询 120.114.100.20 的 反 解 信息 结果 








[root@www ~]# dig -x 120.114.100.20 

; <<>> DiG 9.7.0-P2-RedHat-9.7.0-5.P2.el6_0.1 <<>> -x 120.114.100.20 
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0 

;; global options: +cmd 

;; GOt answer: 

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 60337 


;; flags: dr rd ra QUERY: 1, ANSWER: 3, AUTHORITY: 3， 
ADDITIONAL: 3 


;; QUESTION SECTION: 


;20.100.114.120.in-addr.arpa. IN PTR 

;; ANSWER SECTION: 

20.100.114.120.in-addr.arpa. 3600 IN PTR 
mail-out-r2.ksu.edu.tw. 

20.100.114.120.in-addr.arpa. 3600 IN PTR 
mail-smtp-proxy.ksu.edu.tw. 
20.100.114.120.in-addr.arpa. 3600 IN PTR mail.ksu.edu.tw. 
;; AUTHORITY SECTION: 

100.114.120.in-addr.arpa. 3600 IN NS dns1.ksu.edu.tw. 
100.114.120.in-addr.arpa. 3600 IN NS dns3.twaren.net. 
100.114.120.in-addr.arpa. 3600 IN NS dns2.ksu.edu.tw. 
;; ADDITIONAL SECTION: 

dns1.ksu.edu.tw. 3036 IN A 120.114.50.1 
dns2.ksu.edu.tw. 2658 IN A 120.114.150.1 
dns3.twaren.net. 449 IN A 211.79.61.47 

;; Query time: 29 msec 

;; SERVER: 168.95.1.1#53(168.95.1.1) 

;; WHEN: Thu Aug 4 14:17:58 2011 

;; MSG SIZE rcvd: 245 


反 解 相当 有 趣 ! 从 上 面 的 输出 结果 来 看 ， 反 解 的 查询 目标 竟然 从 
120.114.100.20 变 成 


了 20.100.114.120.in-addr.arpa. 这 个 模样 一 这 是 啥 鬼 东西 ? 不 要 怕 ， 这 等 
我 们 讲 到 


反 解 时 再 跟 大 家 进一步 解释 。 你 现在 要 知道 的 是 ， 反 解 的 查询 领域 
名 ， 跟 正解 不 太一 


样 即 可 ， 尤 其 是 那个 怪异 的 in-addr.arpa. 结尾 的 数据 ， 可 以 先 记 下 来 。 
19.2.3 查询 领域 管理 者 相关 信息 : whois 


上 个 小 耐 谈 到 的 是 主机 名 的 正 反 解 查 询 指 令 ， 那 如 果 你 想 要 知道 整个 领 
域 的 设 定 ， 


使 用 的 是 『 host -1 领域 名 」 去 查 ， 那 如 果 你 想 要 知道 的 是 『 这 个 领域 
是 谁 管 的 ] 

的 信息 呢 ? 那 就 得 要 使 用 whois 这 个 指令 才 行 喔 ! 在 CentOS 6.x 当中 ， 
whois 是 由 


jwhois 这 个 软件 提供 的 ， 因 此 ， 如 果 找 不 到 whois 时 ， 请 用 yum 去 安装 
这 个 软件 吧 ! 
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whois 


[root@www ~]# whois [domainname] <== 注 意 啊 ! 是 domain 而 不 是 
hostname 


[root@www ~]# whois centos.org 
[Querying whois.publicinterestregistry.net]| 
[whois.publicinterestregistry.netj 


# 这 中 间 是 一 堆 whois 服务 器 提供 的 讯 县 告知 ! 底下 是 实际 注册 的 数据 


Domain ID:D103409469-LROR 

Domain Name:CENTOS.ORG 

Created On:04-Dec-2003 12:28:30 UTC 

Last Updated On:05-Dec-2010 01:23:25 UTC 

Expiration Date:04-Dec-2011 12:28:30 UTC <== 记 载 了 建立 与 与 失效 的 日 
期 

Sponsoring Registrar:Key-Systems GmbH (R51-LROR) 
Status:CLIENT TRANSFER PROHIBITED 

Registrant ID:P-8686062 

Registrant Name:CentOS Domain Administrator 

Registrant Organization:The CentOS Project 

Registrant Street1:Mechelsesteenweg 170 

# 底下 则 是 一 堆 联 络 方式 ， 乌 哥 将 它 取 消 了 ， 免 得 多 占 篇 幅 一 


whois 这 个 指令 可 以 查询 到 当初 注册 这 个 domain 的 用 户 的 相关 信息 。 不 
过 ， 由 于 近年 

来 很 多 网 络 信 息 安 全 的 问题 ， 这 个 whois 所 提供 的 信息 真 的 是 太 详 细 
了 ， 为 了 保护 使 


用 者 的 隐私 权 ， 所 以 ， 目 前 这 个 whois 所 查询 到 的 信息 已 经 不 见得 是 完 
全 正确 的 了 一 


而 且 ， 在 显示 出 “whois 的 信息 之 前 ， 还 会 有 一 段 宣告 事项 的 告知 呢 一 
和 人 和 
YY 














如 果 使 用 whois 来 检查 乌 哥 所 注册 的 合法 domain 会 是 如 何 呢 ? 看 看 : 


[root@www ~]# whois vbird.idv.tw 

[Querying whois.twnic.net] 

[whois.twnic.net] <== 这 个 whois 服务 器 查 到 的 数据 
Domain Name: vbird.idv.tw <== 这 个 domain 的 信息 
Contact: <== 联 络 者 的 联络 方式 

Der-Min Tsai 

vbird@pc510.ev.ncku.edu.tw 

Record expires on 2018-09-17 (YYYY-MM-DD) 
Record created on 2002-09-13 (YYYY-MM-DD) 
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Registration Service Provider: HINET 


呵呵 ! 这 个 domain 会 在 2018/09/17 失效 的 意思 啦 ! 报告 完毕 ! 无 论 如 
何 ， 我 们 都 可 


以 透 过 nslookup, host, dig 等 等 的 指令 来 得 询 主机 名 与 IP 的 对 应 ， 这 些 
指令 的 用 


法 可 以 请 你 以 man command 来 查询 更 多 的 用 法 喔 ! 
19.3 DNS 服务 器 的 软件 、 种 类 与 cache only DNS 服务 器 设 定 


谈 完 了 一 些 基 础 概念 后 ， 接 下 来 让 我 们 来 聊 一 聊 ， 那 如 何 设 定 好 ”DNS 
服务 器 啊 ? 

这 当然 束 得 由 软件 安装 谈 起 啦 ! 在 这 个 小 节 ， 我 们 先 不 要 谈 DNS 记录 
的 正 反 解 噬 噬 ， 


只 讲 到 hint 这 个 . (root) 的 zone， 谈 一 谈 最 简单 的 仅 有 快 取 的 DNS 服务 
器 





(Caching only DNS server) 吧 ! 
19.3.1 架设 DNS 所 需要 的 软件 


终于 废话 都 说 完了 ! 相信 你 大 概 也 有 点 素 的 吧 ? 乌 哥 是 蛮 累 的 啦 ， 因 为 
手臂 、 肩 颈 


酸痛 的 毛病 频 严 重 .……. 喷 ! 讲 这 个 干 嘛 ? @_@ 好 啦 ， 我 们 终于 要 来 安装 
DNS 所 需要 的 


软件 了 ! 还 记得 前 面 提 过 的 ， 我 们 要 使 用 的 DNS 软件 就 是 使 用 柏 死 莱 
大 学 发 展 出 来 的 





BIND (Berkeley Internet Name Domain, BIND) 这 个 啦 ! 那么 怎么 知道 你 
安装 了 没 ? 


不 就 是 rpm 与 yum 吗 ? 自己 查 查 看 。 





[root@www ~I# rpm -qa | grep '^Abind' 
bind-libs-9.7.0-5.P2.el6_0.1.x86_64 <== 给 bind 与 相关 指令 使 用 的 函 
式 库 

bind-utils-9.7.0-5.P2.el6_0.1.x86_64 <== 这 个 是 客户 端 搜寻 主机 名 的 相 
KI 


bind-9.7.0-5.P2.el6_0.1.x86_64 <== 就 是 bind 主 程序 所 需 软 件 





bind-chroot-9.7.0-5.P2.el6_0.1.x86_64 <== 将 bind 主 程序 关 在 家 里 面 ! 
上 面 比较 重要 的 是 那个 『 bind-chroot 」 啦 ! 所 谓 的 chroot 代表 的 是 『 


change to 


root( 根 目录 ) 上 的 意思 ，root 代表 的 是 根 目 录 。 早 期 的 bind 默认 将 程序 


启动 在 


/varnamed 当中 ， 但 是 该 程序 可 以 在 根 目 录 下 的 其 他 目录 到 处 转移 ， 
此 若 bind 的 


程序 有 问题 时 ， 则 该 程序 会 造成 整个 系统 的 危害 。 为 避免 这 个 问题 ， 

所 以 我 们 将 茶 个 

目录 指定 为 bind 程序 的 根 目 录 ， 由 于 已 经 是 根 目录 ， 所 以 bind 便 不 能 
离开 该 目录 ! 


所 以 车 该 程序 被 攻击 ， 了 不 起 也 是 在 某 个 特定 目录 底下 搞 破 坏 而 已 。 
CentOS 6.x 默认 














将 bind 锁 在 /var/named/chroot 目录 中 喔 ! 
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我 们 主 程序 是 由 bind，bind-chroot 所 提供 ， 那 前 一 小 节 提 到 的 ， 每 部 
DNS 服务 


妖 都 要 有 的 . (root) 这 个 zone file 在 哪里 ? 它 也 是 由 bind 所 提供 的 喔 ! 
(CentOS 


4.x，5.X 所 提供 的 caching-nameserver 软件 并 不 存在 CentOS 6.x 当中 了 
喔 ! 已 经 


被 涵盖 于 bind 软件 内 ! ) 
19.3.2 BIND 的 默认 路 径 设 定 与 chroot 


要 架设 好 BIND 需要 什么 设 定数 据 呢 ? 基本 上 有 两 个 主要 的 数据 要 处 
理 ; 


J 本 和 喘 的 配置 文件 ， 主要 规范 主机 的 设 定 、zone file 的 所 在 、 权 
限 的 


` 几 旋 z 太 
设 定 等 ; 


正 反 解数 据 库 档案 (zone file): 记录 主机 名 与 卫 对 应 的 等 。 
BIND 的 配置 文件 为 /etc/named.conf， 在 这 个 档案 里 面 可 以 规范 zone file 
的 完 
整 档 名 喔 ! 也 就 是 说 ， 你 的 zone file 其 实 是 由 /etc/named.conf 所 指定 
的 ， 所 以 


Zone file 档 名 可 以 随便 取 啦 ! 只 要 /etc/named.conf 内 规范 为 正确 即 可 。 
一 般 来 说 ， 


CentOS 6.x 的 默认 目录 是 这 样 的 : 


/etc/named.conf : 这 就 是 我 们 的 主 配置 文件 啦 ! 


/etc/sysconfig/named : 是 否 启动 chroot 及 额外 的 参数 ， 就 由 这 个 档案 


/varnamed/ : 数据 库 档 案 默 认 放 置 在 这 个 目录 


/Var/run/named : named 这 文 程序 执行 时 默认 放置 pid-file 在 此 目录 
内 。 





/etc/sysconfig/named 与 chroot 环境 


不 过 ， 为 了 系统 的 安全 性 考虑 ， 一 般 来 说 目前 各 主要 distributions 都 已 
经 目 动 


的 将 你 的 bind 相关 程序 给 他 chroot 了 ! 那 你 如 何 知 道 你 chroot 所 指定 
的 目录 在 


哪里 呢 ? 其 实 是 记录 在 /etc/sysconfig/named 里 面 啦 ! 你 可 以 先 查 阅 一 


[root@www ~]# cat /etc/sysconfig/named 
ROOTDIR=/var/named/chroot 


事实 上 该 档案 内 较 有 意义 的 就 只 有 上 面 这 一 行 ， 意 思 是 说 : [我 要 将 


named 给 他 


chroot ， 并 且 变 更 的 根 目 录 为 /var/named/chroot 」 喔 ! 由 于 根 目录 已 经 
被 变更 到 


/varnamed/chroot 了 ,但 bind 的 相关 程序 是 需要 /etc， /varnamed， 
/var/run ... 


ps 所 以 实际 上 咱们 ”bind ”的 相关 程序 所 需要 的 所 有 数据 会 是 
3 











/var/named/chroot/etc/named.conf 
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/var/named/chroot/var/named/zone filel 
/var/named/chroot/var/named/zone file..... 


/var/named/chroot/var/run/named/... 


哇 ! 真是 好 矿 烦 一 不 过 ， 不 要 太 担 心 ! 因为 新 版 本 的 CentOS 6.x 已 经 将 
chroot 所 


需要 使 用 到 的 目录 ， 透 过 mount --bind 的 功能 进行 目录 链接 了 (参考 


/etc/init.d/mamed 内 容 )， 举 例 来 说 ， 我 们 需要 的 /varnamed 在 启动 脚本 
中 透 过 


mount --bind /var/named /var/named/chroot/var/named 进行 目录 绑 定 哎 ! 
所 以 在 


CentOS 6.x 当中 ， 你 根本 无 须 切换 至 /var/named/chroot/ 了 ! 使 用 正规 的 
目录 即 可 


喔 ! 就 是 这 样 简 单 ! ^ 和 





Tips: 
事实 上 ， 
/etc/sysconfig/named 是 由 /etc/init.d/named 启动 时 


所 读 入 的 ， 所 以 你 也 可 以 直接 修改 /etc/init.d/named 这 个 





script 哩 ! 
19.3.3 单纯 的 cache-only DNS 服务 器 与 forwarding 功能 


在 下 一 小 节 开始 介 绍 正 、 反 解 ” zone 的 数据 设 定之 前 ， 在 这 个 小 节 当 
中 ， 我 们 先 来 


谈 一 个 单纯 修改 配置 文件 ， 而 不 必 设 计 zone file 的 环境 ， 那 就 是 不 具有 
自己 正 反 解 


zone 的 仅 进 行 快 取 的 DNS 服务 器 。 








什么 是 cache-only 与 forwarding DNS 服务 器 呢 ? 


有 个 只 需要 . 这 个 zone file 的 简单 DNS 服务 器 ， 我 们 称 这 种 没有 自己 
公开 的 


DNS 数据 库 的 服务 器 为 cache-only ( 仅 快 取 ) DNS server! 顾名思义 ， 这 


个 DNS server 


只 有 快 取 搜 寻 结 果 的 功能 ， 也 就 是 说 ， 他 本 里 并 没有 主机 名 与 IP 正 反 
解 的 配置 文件 ， 


完全 是 由 对 外 的 碍 询 来 提供 他 的 数据 源 ! 
那 如 打 连 . 都 不 想 要 呢 ? 那 就 得 要 指定 一 个 上 层 DNS 服务 器 作为 你 的 


forwarding ( 转 递 ) 目标 ， 将 原本 自己 要 往 . 碍 询 的 任务 ， 丢 给 上 层 DNS 
服务 器 去 烦 


恼 即 可 。 如 此 一 来 ， 我 们 这 部 具有 forwarding 功能 的 DNS 服务 器 ， 甚 
至 进 二 部 不 


需要 了 ! 因为 .有 记录 在 上 层 DNS 上头 了 嘛 ! 


如 同 刚 刚 凑 到 的 ，cache only 的 DNS 并 不 存在 数据 库 (其 实 还 是 存在 . 
这 人 











root 领域 的 zone file)， 因此 不 论 是 谁 来 查询 数据 ， 这 部 DNS 一 律 开 始 
从 自己 的 快 


取 以 及 . 找 起 ， 整 个 流程 与 图 19.1-4 相同 。 那 如 果 具 有 forwarding 功能 
呢 ? 果真 


如 此 ， 那 即使 你 的 DNS 具有 . 这 个 zone file， 这 部 DNS 还 是 会 将 查询 
权 『 委 请 ] 


DNS 查询 的 ， 这 部 DNS 服务 器 当场 变 成 客户 端 啦 ! 查询 流程 会 变 
这 样 喔 : 


net.qiang@hotmail.com 


. (root) 





ksu.edu,tw €du.tw 


www,.ksu.edu.tw 


图 19.3-1、 具 有 forwarding 功能 的 DNS 服务 器 查询 方式 





观察 上 图 的 查询 方向 ， 你 会 发 现 到 ， 具 有 forwarding 机 制 时 ， 查 询 权 会 
委 请 上 层 


DNS 服务 器 来 处 理 ， 所 以 根本 也 不 需要 . 这 个 位 置 所 在 的 zone 啦 。 一 
般 来 说 ， 如 果 


你 的 环境 需要 架设 一 个 cache-only 的 DNS 服务 器 时 ， 其 实 可 以 直接 加 
上 forwarding 


的 机 制 ， 让 但 询 权 指向 上 层 或 者 是 流量 较 大 的 上 层 DNS 服务 器 即 可 。 











那 既 然 cache 


only 的 服务 器 并 没有 数据 库 ， forwarding 机 制 甚 至 不 需要 . 的 zone ， 那 
干 嘛 还 得 


要 架设 这 样 的 DNS 呢 ? 是 有 理由 的 啦 ! 


什么 时 候 有 架设 cache-only DNS 的 需求 ? 


在 茶 些 公司 行 号 里 头 ， 为 了 预防 员工 利用 公司 的 网 络 资源 作 上 自己 的 事 
情 ， 所 以 都 会 


针对 Internet 的 联机 作 比 较 严 格 的 限制 。 当 然 啦 ， 连 port 53 这 个 DNS 
会 用 到 的 


要 





port 也 可 能 会 被 挡 在 防火 墙 之 外 的 一 这 个 时 候 ， 你 可 以 在 『 防 火 墙 的 那 
部 机 器 上 面 ， 


加 装 一 个 cache-only 的 DNS 服务 ! ] 


这 是 什么 意思 呢 ? 很 简单 啊 ! 就 是 你 自己 利用 自己 的 防火 墙 主 机 上 的 
DNS 服务 去 


帮 你 的 Client 端 解 译 hostname <--> IP 吸 ! 因为 防火 墙 主机 可 以 设 定 放 
行 自 己 的 


DNS 功能 ， 而 Client 端 就 设 定 该 防火 墙 IP 为 DNS 服务 器 的 IP 即 可 ! 
I 这 样 


就 可 以 取得 主机 名 与 IP 的 转译 啦 ! 所 以 ， 通 单 架 设 cache only DNS 服 
务 句 大 都 是 为 


了 系统 安全 喝 。 





实际 设 定 cache-only DNS server 


那 如 何在 你 的 Linux 主机 上 架设 一 个 cache-only 的 DNS 服务 器 呢 ? 其 
实 真 的 


很 简单 的 啦 ! 因为 不 需要 设 定 正 反 解 的 zone (只 需要 . 的 zone 支持 即 
可 )， 所 以 只 
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要 设 定 一 个 档案 ( 束 是 named.conf 主 配 置 文件 ) 即 可 ! 真是 快乐 得 不 得 
了 响 ! 另外 ， 


cache-only 只 要 加 上 个 forwarders 的 设 定 即 可 指定 forwarding 的 数据 ， 
所 以 底下 


我 们 将 设 定 具有 forwarding 的 cache-only DNS 服务 器 吧 ! 





1. 





编辑 主要 配置 文件 : /etc/named.conf 


虽然 我 们 具有 chroot 的 环境 ， 不 过 由 于 CentOS 6.x 已 经 透 过 启动 脚本 
帮 我 们 


J 所 以 请 你 直接 修改 ”/etc/named.conf 即 可 
哆 ! 个 


要 再 去 /var/named/chroot/etc/named.conf 修改 啦 ! 在 这 个 档案 中 ， 主 要 
日 
是 


以 及 各 个 zone 的 领域 及 数据 库 所 在 文 
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马 哥 的 这 个 案例 当中 ， 因 为 使 用 了 forwarding 的 机 制 ， 所 以 这 个 cache- 
only 


> 服务 器 并 没有 zone ( 连 . 都 没有 )， 所 以 我 们 只 要 设 定好 跟 服务 强 有 


设 定 即 可 。 设 定 这 个 档案 的 时 候 请 注意 : 


o 批注 数据 是 放置 在 两 条 和 斜 线 『 //」 后 面 接 的 数据 

0 每 个 段落 之 后 都 需要 以 分 号 『 ; 」 来 做 为 结尾 ! 

乌 哥 将 这 个 档案 再 简化 如 下 的 样式 : 

[root@www ~]# cp /etcnamed.conf /etc/named.conf.raw 
[root@www ~]# vim /etc/named.conf 

/在 预 设 的 情况 下 ， 这 个 档案 会 去 读 取 /etc/named.rfc1912.zones 这 个 领 
域 定 义 档 

/所 以 请 记得 要 修改 成 底下 的 样式 啊 ! 

options { 

listen-on port 53 { any; }; /可 不 设 定 ， 代 表 全 部 接受 
directory "/var/named"; /数据 库 默认 放置 的 目录 所 在 
dump-file "/var/named/data/cache_dump.db"; /一 些 
统计 信息 

statistics-file "/var/named/data/named stats.txt"; 
memstatistics-file "/var/named/data/named mem ,_ stats.txt"; 
allow-query { any; }; /可 不 设 定 ， 代 表 全 部 接受 
recursion yes; /将 自己 视 为 客户 端的 一 种 得 

询 模式 

forward only; /可 暂时 不 设 定 


forwarders { /是 重点 ! 


168.95.1.1; / 先 用 中 华电 信 的 DNS 当 上 


层 
139.175.10.20; /再 用 seednet 当 上 层 
}; 
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} /最 终 记得 要 结尾 符号 ! 


乌 哥 将 大 部 分 的 数据 都 子 以 删除 ， 只 将 少 部 分 保留 的 数据 加 以 小 部 分 的 
修订 而 已 。 


在 named.conf 的 结构 中 ， 与 服务 器 环境 有 关 的 是 由 options 这 个 项 目 内 


JP 、 
容 设 


因为 options 里 面 还 有 很 多 子 参数 ， 所 以 就 以 大 括号 { } 包 起 来 
风 。 


至 于 options 内 的 子 参数 在 上 面 提 到 的 较 重 要 的 项 目 简单 叙述 如 下 : 





o listen-on port 53 { any; }; 

监听 在 这 部 主机 系统 上 面 的 哪个 网 络 接 口 。 预 设 是 监听 在 localhost， 亦 
即 只 有 本 机 可 以 对 DNS 服务 进行 查询 ， 那 当然 是 很 不 合理 啊 ! 所 以 这 
里 





要 将 大 括号 内 的 数据 改写 成 any。 记 得 ， 因 为 可 以 监听 多 个 接口 ， 因 此 


any 


后 面 得 要 加 上 分 号 才 算 结束 喔 ! ”为 外 ， 这 个 项 目 如 果 访 记 写 也 没有 关 


因为 默认 是 对 整个 主机 系统 的 所 有 接口 进行 监听 的 。 


o directory "/var/named"; 


意思 是 说 ， 如 果 此 档案 底下 有 规范 到 正 、 反 解 的 zone file 档 名 时 ， 访 
档 名 预 设 应 该 放置 在 哪个 目录 底下 的 意思 。 预 设 放置 到 /var/named/ 底 
下 。 由 于 chroot 的 关系 ， 最 终 这 些 数据 库 档 案 会 被 主动 链接 到 


/varnamed/chroot/varnamed/ 这 个 目录 。 








o dump-file, statistics-file, memstatistics-file 
与 named 这 个 服务 有 关 的 许多 统计 信息 ， 如 果 想 要 输出 成 为 档案 的 话 ， 


席 设 的 档 名 就 如 上 所 述 。 乌 哥 自己 很 少 看 这 些 统计 资料 ， ”所 以 ， 这 三 


设 定 值 写 不 写 应 该 都 是 没有 关系 的 。 











o allow-query { any; }; 


2 到 底 谁 可 以 对 我 的 DNS 服务 提出 查询 请 求 





意思 。 原 本 的 档案 内 容 预 设 是 针对 localhost 开放 而 已 ， 我 们 这 里 改 成 
对 所 有 的 用 户 开 放 (当然 啦 ， 防 火 墙 也 得 放行 才 行 )。 不 过 ， 默 认 DNS 





| 


就 





是 对 所 有 用 户 放 行 ， 所 以 这 个 设 定 值 也 可 以 不 用 写 。 

o forward only ; 

这 个 设 定 可 以 让 你 的 DNS 服务 器 仅 进 行 forward， 即 使 有 . 这 个 zone 
file 的 设 定 ， 也 不 会 使 用 . 的 数据 ， 只 会 将 查询 权 交 给 上 层 DNS 服务 
器 而 已 ， 是 cache only DNS 最 常见 的 设 定 了 ! 


o forwarders { 168.95.1.1; 139.175.10.20; } ; 





既然 有 forward only， 那 么 到 底 要 对 哪 部 上 层 DNS 服务 器 进行 转 递 呢 ? 
那 束 是 forwarders (不 要 访 记 那个 s) 设 定 值 的 重要 性 了 ! 由 于 担心 上 


层 DNS 服务 器 也 可 能 会 挂 点 ， 因 此 可 以 设 定 多 部 上 层 DNS 服务 器 喔 ! 


一 个 forwarder 服务 器 的 IP 都 需要 有 『 ; 」 来 做 为 结尾 ! 


很 简单 吧 ! 至 于 更 多 的 参数 我 们 会 在 后 续篇 幅 当中 悍 慢 介绍 的 。 这 样 就 
己 经 设 定 





完成 了 最 简单 的 cache only DNS server 了 ! 
net.qiang(Ohotmail.com 

2. 

启动 named 并 观察 服务 的 塌 口 


启动 总 不 会 态 记 吧 ? 赶快 去 启动 一 下 吧 ! 同时 启动 完毕 之 后 ， 观 察 一 下 
由 named 


所 开局 的 塌 口 ， 看 看 到 底 哪 些 塌 口 会 被 DNS 用 到 的 ! 


#1. 启动 一 下 DNS 这 玩意 儿 ! 





[root@www ~]# /etc/init.d/named start 
Starting named: [ OK | 

[root@www ~]# chkconfig named on 

#2. 到 底 用 了 多 少 吉 口 呢 ? 

[root@www ~]# netstat -utinp | grep named 


Proto Recv-Q Send-Q Local Address Foreign Address State 


PID/Program name 

tcp 0 0 192.168.100.254:53 0.0.0.0:* LISTEN 
3140/named 

tcp 0 0 192.168.1.100:53 0.0.0.0:* LISTEN 
3140/named 

tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 
3140/named 

tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 
3140/named 

tcp 0 0 ::1:953 :::* LISTEN 

3140/named 

udp 0 0 192.168.100.254:53 0.0.0.0:* 
3140/named 

udp 0 0 192.168.1.100:53 0.0.0.0:* 
3140/named 

udp 0 0 127.0.0.1:53 0.0.0.0:* 

3140/named 


我 们 知道 DNS 会 同时 启用 UDP/TCP 的 port 53， 而 且 是 针对 所 有 接 
口 ， 因 此 上 


面 的 数据 并 没有 什么 特异 的 部 分 。 不 过 ， 怎 么 会 有 port 953 且 仅 针对 本 
放 来 监 





听 呢 ? 其 实 那 是 named 的 远程 控制 功能 ， 称 为 远程 名 称 解析 服务 控制 功 


会 已 
月 已 


(remote name daemon control, rndaO。 预 设 的 情况 下 ， 仅 有 本 机 可 以 针对 


Indc 


来 控制 。 我 们 会 在 后 续 的 章节 再 来 探讨 这 个 rndc 啦 ， 目 前 我 们 只 要 知 
首 


UDP/TCP port 53 有 启动 即 可 。 
3. 
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检查 /var/log/messages 的 内 容 讯 居 ( 极 重要 ! ) 


named 这 个 服务 的 记录 文件 就 直接 给 他 放置 在 /var/log/messages 里 面 
啦 ， 上 所 


以 来 看 看 里 面 的 儿 行 登录 信息 吧 ! 








[root@www ~]# tail -n 30 /var/log/messages | grep named 


Aug 4 14:57:09 www named[3140]: starting BIND 9.7.0-P2-RedHat-9.7.0- 
5.P2.el6_0.1 -u named 


-t /var/named/chroot <== 说 明 的 是 chroot 在 哪个 目录 下 ! 


Aug 4 14:57:09 www named[3140]: adjusted limit on open files from 1024 to 
1048576 


Aug 4 14:57:09 www named[3140]: found 1 CPU, using 1 worker thread 


Aug 4 14:57:09 www named[3140]: using up to 4096 Sockets 


Aug 4 14:57:09 www named[3140]: loading configuration from 
/etc/named.conf' 


Aug 4 14:57:09 www named[3140]: using default UDP/IPv4 port range: 
[1024, 65535] 


Aug 4 14:57:09 www named[3140]: using default UDP/IPv6 port range: 
[1024, 65535] 


Aug 4 14:57:09 www named[3140]: listening on IPv4 interface lo, 
127.0.0.1#53 


Aug 4 14:57:09 www named[3140]: listening on IPv4 interface eth0， 
192.168.1.100#53 


Aug 4 14:57:09 www named[3140]: listening on IPv4 interface ethl, 
192.168.100.254#53 


Aug 4 14:57:09 www named[3140]: generating session key for dynamic 
DNS 


Aug 4 14:57:09 www named[3140]: command channel listening on 
127.0.0.1#953 


Aug 4 14:57:09 www named[3140]: command channel listening on ::1#953 
Aug 4 14:57:09 www named[3140|]: the working directory is not writable 
Aug 4 14:57:09 www named[3140]: running 


上 面 最 重要 的 是 第 一 行 出 现 的 『-t .4 那个 项 目 指出 你 的 chroot 目录 
哆 。 为 


外 ， 上 面 表格 中 特殊 字体 的 部 分 ， 有 写 到 读 取 /etc/named.conf， 代 表 可 
以 顺利 


的 加 载 /var/named/etc/named.conf 的 意思 。 如 果 上 面 有 出 现 冒 号 后 面 接 





数字 
GC10)， 那 融 代 表 茶 个 档案 内 的 第 十 行 有 问题 的 意思 ， 届 时 再 进入 处 理 即 


可 。 要 


注意 的 是 ， 即 使 port 53 有 启动 ， 但 有 可 能 DNS 服务 是 错误 的 ， 此 时 这 
个 登录 


档 就 显 的 非常 重要 ! 每 次 重新 启动 DNS 后 ， 请 务必 查阅 一 下 这 个 档案 
的 内 容 ! ! 











Tips: 

如 果 你 在 /var/log/messages 里 面 一 直 看 到 这 样 的 错误 信息 : 

couldn't add command channel 127.0.0.1#953: not found 

那 表 示 你 还 必需 要 加 入 mdc key ， 请 参考 本 章 后 面 的 利用 RNDC 

指令 管理 DNS 服务 器 的 介绍 ， 将 他 加 入 你 的 named.conf 中 ! 

4. 

测试 : 

如 果 你 的 ” DNS ， 伺服 左 具 有 连 上 因特网 的 功能 ， 那 么 透 过 『 dig 


www.google.com 


2 这 个 基本 指令 执行 看 看 ， 如 果 有 找到 google 的 IP， 并且 
且 
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0 


I 『 SERVER: 127.0.0.1#53(127.0.0.1) 」 的 字样 ， 那 就 
人 





特别 说 明 : Forwarders 的 好 处 与 问题 分 析 


关于 forwarder 的 好 处 与 坏处 ， 其 实 有 很 多 种 的 意见 ! 大 致 的 意见 可 分 
为 这 两 派 : 


利用 Forwarder 的 功能 来 增进 效能 的 理论 : 


0 当 很 多 的 下 层 DNS 服务 器 都 使 用 forwarder 时 ， 那 么 
那个 雍 


设 定 为 forwarder 的 主机 ， 由 于 会 记录 很 多 的 查询 信息 记录 (请 参考 图 
19.1-4 


1 因此 ， 对 于 那些 下 层 的 DNS 服务 器 而 言 ， 碍 询 速度 会 增 快 很 
? 亦 即 


因为 forwarder 服务 器 里 面 有 较 多 的 快 取 记录 
本 < 











以 包括 forwarder 本 有 身 ， 以 及 所 有 辐 这 部 forwarder 要 求 数据 的 DNS 服 
务 器 ， 


都 能 够 减少 往 .查询 的 机 会 ， 因此 速度 当然 增加 。 
利用 Forwarder 反而 会 使 整体 的 效能 降低 : 


但 是 男 外 一 派 则 持 相 反 的 见解 ! 这 是 因为 当主 DNS 本 身 的 『 业 务 量 ] 
就 很 繁忙 


那么 你 的 cache only DNS 服务 器 还 回 他 要 求 数 据 ， 因 为 他 原本 
A] 类 后 


传输 量 束 太 大 了 ， 市 党 方 面 可 能 负荷 不 量 ， 而 太 多 的 下 层 DNS 还 同 他 
杜 求 类 


要 求 数据 

















所 以 他 的 查询 速度 会 变 慢 ! 因为 查询 速度 变 慢 了 ， 而 你 的 ”cache only 


server 又 


古 癌 他 提出 要 求 的 ， 所 以 目 然 两 边 的 伍 询 速度 就 会 同步 下 降 ! 


很 多 种 说 法 啦 ! 鸟 哥 本 人 也 觉得 很 有 趣 哩 ! 只 古 不 知道 哪 一 派 较 正 确 束 
是 了 ， 不 过 


可 以 知道 的 是 ， 如 果 上 层 的 ”DNS ”速度 很 快 的 话 ， 那 么 他 被 设 定 为 
forwarder 时 ， 或 许 


真 的 可 以 增加 不 少 效能 哩 ! 
19.4 DNS 服务 器 的 详细 设 定 


J 经 过 上 面 的 说 明 后 ， 我 们 大 概 知道 ”DNS 的 几 个 小 细节 是 这 样 
DNS 服务 器 的 架设 需要 上 层 DNS 的 授权 才 可 以 成 为 合法 的 DNS 服 
人 


(否则 只 是 练功 ); 


2. 配置 文件 位 置 : 目前 bind 程序 已 进行 chroot， 相 关上 目录 可 参考 





/etc/sysconfig/named; 





3. named 主要 配置 文件 是 /etc/named.conf; 

4. 每 个 正 、 反 解 领域 都 需要 一 个 数据 库 档 案 ， 而 文件 名 则 是 由 
/etc/named.conf 所 设 定 ; 
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必 

5.， 当 DNS 和 碍 询 时 ， 知 本 映 没 有 数据 库 档 案 ， 则 前 往 root (.) 或 


forwarders 


服务 占 查 询 ; 


6. named 是 否 局 动 成 功 务必 要 得 阅 /var/log/messages 内 的 信息 ! 


其 中 第 一 点 很 重要 ， 因 为 我 们 尚未 同上 层 ISP 注册 合法 的 领域 名 ， 所 以 
我 们 当然 


就 没有 权利 架设 合法 的 DNS 服务 器 了 。 而 由 于 担心 我 们 的 DNS 服务 
如 会 与 外 部 因 特 


网 环境 互相 干扰 ， 所 以 底下 乌 哥 将 主要 以 一 个 centos.vbird 的 领域 名 来 
架设 DNS 服 


务 器 ， 如 此 一 来 跨 们 就 可 以 好 好 的 玩 一 玩 自 己 局 域 网 络 内 的 DNS 哮 ! 
19.4.1 正解 文件 记录 的 数据 (Resource Record, RR) 


既然 DNS 最 早 之 前 的 目的 就 是 要 从 主机 名 去 找到 IP， 所 以 就 让 我 们 先 
从 正解 


zone 来 谈 起 吧 。 既 然 要 谈 正解 ， 那么 就 应 该 要 了 解 正解 档案 记录 的 信 
轧 有 哪些 吧 ? 在 


这 个 小 节 里 面 ， 我 们 就 先 来 谈 谈 正解 zone 常常 记录 的 数据 有 哪些 吧 。 








正解 文件 资源 记录 (resource record, RR) 格式 
我 们 从 前 面 几 个 小 节 的 dig 指令 输出 结果 中 ， 可 以 发 现 到 一 个 有 趣 的 哆 
吹 ， 那 驶 


ee 


是 输出 的 数据 格式 似乎 是 固定 的 ! 举例 来 襄 ， 查 询 www.ksu.edu.tw 的 
IP 时 ， 输 出 


的 结果 为 : 
[root@www ~]# dig www.ksu.edu.tw 


…( 前 面 省 略 )..… 


;; ANSWER SECTION: 

www.ksu.edu.tw. 2203 IN A 120.114.100.101 

;; AUTHORITY SECTION: 

ksu.edu.tw. 911 IN NS dns1.ksu.edu.tw. 

.…( 后 面 省 略 )…. 

# 上 面 的 输出 数据 已 经 被 简化 过 了 ， 重 点 是 要 大 家 了 解 RR 的 格式 

在 答案 的 输出 阶段 ， 主 要 查询 得 到 的 是 的 标志 ， 在 认证 阶段 ， 则 是 


提供 ksu.edu.tw 


的 NS 服务 器 为 哪 一 部 的 意思 。 格式 非常 接近 ， 只 是 A 后 面 接 IP， 而 
NS 后 面 接 主 


机 名 而 已 。 我 们 可 以 将 整个 输出 的 格式 简化 成 为 如 下 的 说 明 : 
[domain] [tt IN [[RR type] [RR datal] 

[ 待 查 数 据 ] [ 暂 存 时 间 ( 秒 )] IN [[ 资 源 类 型 ] [资源 内 容 ]] 
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上 表 中 ， 关 键 词 IN 是 固定 的 ， 而 RR type 与 RR data 则 是 互 有 关连 性 
的 ， 例 如 刚刚 


才 提 过 的 A 就 是 接 IP 而 不 是 主机 名 啊 。 此 外 ， 在 domain 的 部 分 ， 辱 可 


能 的 话 ， 请 


尽量 使 用 FQDN， 亦 即 是 主机 名 结尾 加 上 一 个 小 数 点 的 (.) 就 被 称 为 
FQDN 了 ! 例如 刚 


J www.ksu.edu.tw 的 输出 结果 中 ， 在 答案 阶段 时 ， 搜 寻 的 主机 名 会 


www.ksu.edu.tw. 喔 ! 注意 看 最 后 面 有 个 小 数 点 喔 ! 那个 小 数 点 非常 重 

















要 ! 


至 于 tt 就 是 time to live 的 缩写 ， 意 思 就 是 当 这 笔记 录 被 其 他 DNS 服务 
器 查 


询 到 后 ， 这 个 记录 会 保持 在 对 方 DNS 服务 器 的 快 取 中 ， 保 持 多 少 秒 钟 


的 意思 。 所 以 ， 


当 你 反复 执行 dig www.ksu.edu.tw 之 后 ， 就 会 发 现 这 个 时 间 会 减少 ! 为 
什么 呢 ? 因为 


在 你 的 DNS 快 取 中 ， 这 笔 数 据 能 够 保存 的 时 间 会 开始 倒数 ， 当 这 个 数 
字 归 零 后 ， 下 次 


有 人 再 重新 搜寻 这 笔记 录 时 ， 你 的 DNS 就 会 重新 沿 着 . (roob 开始 重 来 
搜寻 一 衣 ， 


而 不 会 从 快 取 里 面 捉 取 了 (因为 快 取 内 的 资料 会 被 舍 莽 )。 


由 于 tt 可 由 特定 的 参数 来 统一 控 管 ， 因 此 在 RR 的 记录 格式 中 ， 通 常 这 
广 世 


的 字段 是 可 以 忽略 的 。 那么 常见 的 RR 有 哪些 呢 ? 我 们 将 正解 文件 的 
RR 记录 格式 汇 


整 如 下 : 
# 常见 的 正解 文件 RR 相关 信息 
[domain] IN [[RR type] [RR datall 


主机 名 . IN A IPv4 的 IP 地 址 








主机 名 .IN AAAA IPv6 的 IP 地 址 
领域 名 . IN NS 管理 这 个 领域 名 的 服务 器 主机 名 字 . 


领域 名 . IN SOA 管理 这 个 领域 名 的 七 个 重要 参数 ( 容 后 说 明 ) 


领域 名 . IN MX 顺序 数字 接收 邮件 的 服务 器 主机 名 字 
主机 别名 . IN CNAME 实际 代表 这 个 主机 别名 的 主机 名 字 . 


接 下 来 我 们 以 昆山 科大 的 DNS 设 定 ， 包 括 ksu.edu.tw 这 个 领域 (domain， 


Zone)， 以 


及 www.ksu.edu.tw 这 个 主机 名 (FQDN) 的 查询 结果 来 跟 大 家 解释 每 个 
RR 记录 的 信 


因为 何 鄙 ! 





A, AAAA : 查询 IP 的 记录 


这 个 A 的 RR 类 型 是 在 查询 某 个 主机 名 的 卫 ， 也 是 最 长 被 查询 的 一 个 
RR 标志 喔 ! 


举例 来 说 ， 要 找到 www.ksu.edutw 的 A 的 话 ， 就 是 这 样 查 : 








[root@www ~]# dig [-t al www.ksu.edu.tw 

;; ANSWER SECTION: 

www.ksu.edu.tw. 2987 IN A 120.114.100.101 

# 主机 FQDN. ttl 这 部 主机 的 IP 就 是 

这 里 
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# 仅 列 出 答案 阶段 的 资料 ， 后 续 的 RR 相关 标志 也 是 这 样 显 示 的 喔 ! 
# 指令 列 中 的 [-ta] 可 以 不 加 ， 而 最 左边 主机 名 结尾 都 会 有 小 数 点 喔 ! 


人 当然 ， 你 也 可 以 让 你 的 domain 拥有 一 个 A 的 标志 ， 例 
[dig 








google.com 」 也 能 找到 卫 。 不 过 ， 咱 们 昆山 科大 的 ksu.edu.tw 则 没有 设 
定 了 就 


是 了 。 要 再 次 特别 强调 的 ， 主 机 名 如 果 是 全 名 ， ”结尾 部 分 请 务必 加 上 
小 数 点 。 如 果 你 


的 IP 设 定 的 是 IPv6 的 话 ， 那 么 但 询 就 得 要 使 用 aaaa 类 型 才 行 。 





NS : 查询 管 理 领 域名 (zone) 的 服务 器 主机 名 


如 果 你 想 要 知道 www.ksu.edu.tw 的 这 笔记 录 是 由 哪 部 DNS 服务 器 提供 
的 ， 那 就 


得 要 使 用 NS (NameServer) 的 RR 类 型 标志 来 查询 。 不 过 ， 由 于 NS 是 
管理 整个 领域 





的 ， 因 此 ， 你 得 要 查询 的 目标 将 得 输入 domain， 亦 即 ksu.edu.tw 才 行 
喔 ! 举例 如 下 : 


[root@www ~]# dig -t ns ksu.edu.tw 

;; ANSWER SECTION: 

ksu.edu.tw. 1596 IN NS dns1.ksu.edu.tw. 

;; ADDITIONAL SECTION: 

dns1.ksu.edu.tw. 577 IN A 120.114.50.1 

# 除了 列 出 NS 是 哪 部 服务 费 之 外 ， 该 服务 强 的 IP 也 会 额外 提供 ! 


前 面 提 过 ，DNS 服务 器 是 很 重要 的 ， 因 此 至 少 都 会 有 两 部 以 上 。 昆 山 
科大 共有 三 部 DNS 


服务 器 ， 乌 哥 仅 列 出 第 一 部 提供 参考 。 NS 后 面 会 加 服务 右 名 称 ， 而 这 
个 服务 器 的 耳 也 


会 额外 提供 才 对 ! 因此 NS 经 常 伴随 A 的 标志 啊 ! 这 样 你 才能 到 NS 去 
查询 数据 嘛 ! 


这 样 说 有 理解 吧 ? 和 ^ 人 和 


SOA : 得 询 管 理 领域 名 的 服务 器 管理 信息 
如 果 你 有 多 部 “DNS 服务 器 管理 同一 个 领域 名 时 ， 那 么 最 好 使 用 


master/slave 的 


方式 来 进行 管理 。 既 然 要 这 样 管理 ， 那 就 得 要 宣告 被 管理 的 zone file 
是 如 何 进行 传 


输 的 ， 此 时 就 得 要 SOA (Start Of Authority) 的 标志 了 。 先 来 瞧 瞧 昆山 科 
大 的 设 定 是 


怎样 : 








[root@www ~ 1# dig -t soa ksu.edu.tw 

;; ANSWER SECTION: 

ksu.edu.tw. 3600 IN SOA dnsl.ksu.edu.tw. 
net.giang(@hotmail.com 
abuse.mail.ksu.edu.tw. 

2010080369 1800 900 604800 86400 

# 上 述 的 输出 结果 是 同一 行 喔 ! 


SOA 主要 是 与 领域 有 关 ， 上 所 以 前 面 当然 要 写 ksu.edu.tw 这 个 领域 名 。 而 
SOA 后 面 共 


会 接 七 个 参数 ， 这 七 个 参数 的 意义 依 序 是 : 





aster DNS 服务 器 主机 名 : 这 个 领域 主要 是 哪 部 DNS 作为 master 的 


O 


1. M 
局 思 





在 本 例 中 ， dnsl.ksu.edu.tw 为 ksu.edu.tw 这 个 领域 的 主要 DNS 服务 器 
哆 ， 
2. 管理 员 的 email:， 那么 管理 员 的 email 为 何 ? 发生 问 题 可 以 联络 这 个 管 
理 


| 由 于 @ 在 数据 库 档 案 中 是 有 特别 音义 的 ， 因 此 这 里 
束 将 

abuse@@mail.ksu.edu.tw 改写 成 abuse.mail.ksu.edu.tw ， 这 样 看 的 懂 了 吗 ? 
J (Serial): 这 个 序号 代表 的 是 这 个 数据 库 档案 的 新 上 日 ， 序 号 越 大 
上 


越 新 。 当 slave 要 判断 是 否 主动 下 载 新 的 数据 库 时 ， 束 以 序号 是 否 比 
slave 上 


的 还 要 新 来 判断 ， 硅 是 则 下 载 ， 大 不 是 则 不 下 载 。 “所 以 当 你 修订 了 数 
据 库 内 容 
时 ， 记 得 要 将 这 个 数值 放大 才 行 ! ”为 了 方便 用 户 记忆 ， 通 种 序号 都 会 
使 用 日 期 


格式 [YYYYMMDDNUJ」 来 记忆 ， 例 如 昆山 科大 的 2010080369 序号 代 
表 2010/08/03 


当天 的 第 69 次 更 新 的 感觉 。 不 过 ， 序 号 不 可 大 于 2 的 32 次 方 ， 亦 即 必 
顷 小 








于 4294967296 才 行 喔 。 
4. 更 新 频率 (Refresh): 那么 喻 时 slave 会 去 向 master 要 求 数据 更 新 的 判 
断 ? 就 是 这 个 数值 定义 的 。 昆山 科大 的 DNS 设 定 每 1800 秒 进 行 一 次 


slave 


向 master 要 求 数据 更 新 。 那 每 次 slave 去 更 新 时 ， 如 果 发 现 序 号 没有 比 
较 大 ， 


那 就 不 会 下 载 数 据 库 档 案 。 
5. 失败 重新 尝试 时 间 (Retry): 如 果 因 为 某 些 因素 ， 导 致 slave 无 法 对 
master ”达成 联机 ， 那么 在 多 久 的 时 间 内 ，slave ”会 尝试 重新 联机 到 


master。 


在 昆山 科大 的 设 定 中 ，900 秒 会 重新 尝试 一 次 。 意 思 是 说 ， 1800 秘 
slave 会 


主动 向 master 联机 ， 但 如 果 访 次 联机 没有 成 功 ， 那 接 下 来 尝试 联机 的 时 


间 会 变 

成 900 秒 。 耕 后 来 有 成 功 ， 则 叉 会 恢复 到 1800 秒 才 再 一 次 联机 。 

6. 失效 时 间 (Expire): 如 末 一 直 失 败 尝试 时 间 ， 持 续 联机 到 达 这 个 设 定 
值 时 





限 ， 那么 slave 将 不 再 继续 尝试 联机 ， 并 有 旦 尝试 删除 这 份 下 载 的 zone 
file 信 


晨 。 昆 山 科 大 设 定 为 604800 秒 。 意 思 是 说 ， 当 联机 一 直 失 败 ， 900 


秒 尝试 


到 达 604800 秒 后 ， 昆 山 科 大 的 slave 将 不 再 更 新 ， 只 能 等 竺 系统 管理 员 
的 处 


7. 快 取 时 间 (Minumum TTL): 如 果 这 个 数据 库 zone file 中 ， 每 笔 RR 记 
录 


都 没有 写 到 TTL 快 取 时 间 的 话 ， 那 么 就 以 这 个 SOA 的 设 定 值 为 主 。 


除了 Serial 不 可 以 超过 2 的 32 次 方 之 外 ， 有 没有 其 它 的 限制 啊 针 对 这 
几 个 数 





值 ? 是 有 的 ， 基 本 上 就 是 这 样 : 
net.qiang(Ohotmail.com 
Refresh >= Retry *2 
Refresh + Retry < Expire 
Expire >= Rrtry * 10 
Expire >= 7Days 


一 般 来 说 ， 如 果 DNS RR 资料 变更 情况 频繁 的 ， 那 么 上 述 的 相关 数值 可 
以 订 定 的 小 


一 些 ， 如 果 DNS RR 是 很 稳定 的 ， 为 了 节省 带宽 ， 则 可 以 将 Refresh 设 
定 的 较 大 一 些 。 


CNAME : 设 定 某 主 机 名 的 别名 (alias) 


有 时 候 你 不 想 要 针对 茶 个 主机 名 设 定 A 的 标志 ， 而 是 想 透 过 男 外 一 部 
主机 名 的 A 


来 规范 这 个 新 主机 名 时 ， 可 以 使 用 别名 (CNAME) 的 设 定 喔 ! 举例 来 
说 ， 追 踪 





www.google.com 时 ， 你 会 发 现 这 样 : 

[root@www ~I# dig www.google.com 

;; ANSWER SECTION: 

www.google.com. 557697 IN CNAME www.l.google.com. 
www.l.google.com. 298 IN A 72.14.203.99 


意思 是 说 ， 当 你 要 追查 www.google.com 时 ， 请 找 www.1.google.com 那 


个 主机 ， 而 那 


个 主机 的 A 就 上 面 第 二 行 的 显示 了 。 马 哥 常常 开玩笑 的 说 ， 你 知道 乌 
哥 的 身份 证 字号 


吗 ? 你 到 户 政事 务 所 去 查 『 乌 哥 ] 时 ， 他 会 说 : 『 没 这 个 人 啊 ! 因为 没 
有 人 姓 乌 .. ， 





这 个 『 鸟 哥 ] 就 是 别名 (CNAME) ， 而 对 应 到 的 名 称 就 是 『 袭 某 某 」 ， 
这 个 殖 茶 茶 才 真 


的 有 身份 字号 的 意思 一 一 层 一 层 去 追踪 虽 ~ 


这 个 CNAME 有 啥 好 处 昵 ? 用 A 就 好 了 吧 ? 其 实 还 是 有 好 处 的 ， 举 例 
来 说 ， 如 果 你 
有 一 个 IP， 这 个 IP 是 给 很 多 主机 名 使 用 的 。 那么 当 你 的 他 更 改 时 ， 所 
有 的 数据 就 


得 通通 更 新 A 标志 才 行 。 如 果 你 只 有 一 个 主要 主机 名 设 定 A， 而 其 他 的 
标志 使 用 CNAME 




















时 ， 那 么 当 IP 更 改 ， 那 你 只 要 修订 一 个 A 的 标志 ， 其 他 的 CNAME 就 
跟着 变动 了 ! 处 
理 起 来 比较 容易 啊 ! 








MX : 碍 询 菏 领域 名 的 邮件 服务 器 主机 名 


MX 是 Mail eXchanger (邮件 交换 ) 的 意思 ， 通 常 你 的 整个 领域 会 设 定 一 
个 
~ MX ， 


代表 ， 所 有 寄 给 这 个 领域 的 email 应 该 要 送 到 后 头 的 email server 主机 名 
上 头 才 是 。 


先 看 看 昆 大 的 资料 : 





[root@www ~]# dig -t mx ksu.edu.tw 
net.qiang(Dhotmail.com 

0 

;; ANSWER SECTION: 

ksu.edu.tw. 3600 IN MX 8 mx01.ksu.edu.tw. 
;; ADDITIONAL SECTION: 
mx01.ksu.edu.tw. 3600 IN A 120.114.100.28 


上 头 的 意思 是 说 ， 当 有 信件 要 送 给 ksu.edu.tw 这 个 领域 时 ， 则 预先 将 信 
件 传 送 给 


mx01.ksu.edu.tw 这 部 邮件 服务 器 管理 ， 当然 啦 ， 这 部 mx01.ksu.edu.tw 


大 自己 管理 的 邮件 服务 器 才 行 ! MX 后 面 接 的 主机 名 通常 就 是 合法 mail 


server， 而 想 


要 当 MX 服务 器 ， 就 得 要 有 A 的 标志 才 行 一 所 以 上 表 后 面 就 会 出 现 


mx01.ksu.edu.tw 
的 A 啊 ! 


那么 在 mx01 之 前 的 8 是 什么 意思 ? 由 于 担心 邮件 会 遗失 ， 因 此 较 大 型 
的 企业 会 


有 多 部 这 样 的 上 层 邮 件 服务 器 来 预 完 收受 信件 。 “那么 到 搬 哪 部 邮件 主 
机 会 先 收 下 呢 ? 


就 以 数字 较 小 的 那 部 优先 哆 ! 举例 来 说 ， 如 果 你 去 碍 google.com 的 MX 


标志 ， 就 会 


发 现 他 有 5 部 这 样 的 服务 器 呢 ! 








19.4.2 反 解 文件 记录 的 RR 数据 

讲 完了 正解 来 谈 谈 反 解 吧 ! 在 讲 反 解 之 前 ， 先 来 谈 谈 正 解 主 机 名 的 妃 踪 
www.ksu.edu.tw. 来 说 ， 整 个 网 域 的 概念 来 看 ， 越 右边 出 现 的 名 称 代 表 
网 域 越 大 ! 举 


例 来 说 ，.Goob > tw > edu 以 此 类 推 。 因 此 妃 踩 时， 是 由 大 范围 找到 小 
范围 ， 最 后 ， 





图 19.1-4 所 示 那 样 。 


但 是 IP 则 不 一 样 啊 ! 以 昆 大 的 120.114.100.101 来 说 好 了 ， 当 然 是 120 
>114> 


100 > 101 ， 左 边 的 网 域 最 大 ! 与 预 设 的 DNS 从 右边 向 左边 查询 不 一 样 
啊 ! 那 怎 办 ? 


为 了 解决 这 个 问题 ， 所 以 反 解 的 zone 就 必须 要 将 IP 反 过 来 写 ， 而 在 结 
尾 时 加 


上 .in-addr.arpa. 的 结尾 字样 即 可 。 所 以 ， 当 你 想 要 退 踪 反 解 时 ， 那 么 反 
解 的 结果 就 


日 
会 是 : 





[root@www ~]# dig -x 120.114.100.101 
;; ANSWER SECTION: 
101.100.114.120.in-addr.arpa. 3600 IN PTR www.ksu.edu.tw. 


例如 上 述 的 结果 中 ， 我 们 要 查询 的 主机 名 竟然 变 成 y 了 IP 反 转 的 模样 ! 
所 以 才 称 为 反 解 


呆 ! 而 反 解 的 标志 基 重 要 的 就 是 PTR 了 ! 


net.qiang@hotmail.com 


PTR : 就 是 反 解 啊 ! 所 以 是 查询 IP 所 对 应 的 主机 名 


进行 反 解 时 ， 要 注意 的 就 是 zone 的 名 称 了 ! 要 将 IP 反 转 过 来 写 ， 并且 
结尾 加 


上 .in-addr.arpa. 才 行 ! 例如 120.114.100.0/24 这 个 class C IP 网 段 的 反 解 
设 





定 ， 就 必须 要 写成 : 100.114.120.in-addr.arpa. 这 样 的 zone 名 称 才 行 。 
而 PTR 后 


面 接 的 上 自然 就 是 主机 名 哆 ! 


0 后 面 的 主机 名 尽量 使 用 完整 FQDN， 亦 即 加 


(.) ! 为 什么 昵 ? 举 100.114.120.in-addr.arpa. 为 例 ， 如 果 你 只 是 填写 主机 


要 


ee 那么 当 人 家 妃 踊 你 的 主机 名 时 ， 你 的 主机 名 会 变 


www.100.114.120.in-addr.arpa. 的 怪 模 样 。 这 是 比较 需要 注意 的 地 方 。 





Tips: 
老实 说 ， 乌 园 讨论 区 的 一 些 有 经 验 的 朋友 一 直 在 讲 ， 如 果 担 心 会 有 


误解 ， 主 机 名 的 设 定 则 通通 记得 是 要 填写 FQDN 就 是 了 ! 这 样 绝 对 











不 会 有 问题 ! 人 和信 


19.4.3 步 又 一 : DNS 的 环境 规划 : 正解 、 反 解 zone 的 预先 定义 案例 说 
明 


现在 假设 乌 哥 的 区 网 环境 中 想 要 设 定 DNS 服务 器 ， 乌 哥 的 区 网 原本 规 
划 的 域名 就 


是 centos.vbird， 且 搭配 的 IP 网 段 为 192.168.100.0/24 这 一 段 ， 因 此 主要 
的 正解 


网 域 为 centos.vbird， 而 反 解 的 网 域 则 为 192.168.100.0/24， 马 哥 的 这 部 
DNS 服务 


器 想 要 自己 找寻 .(root) 而 不 透 过 forwarders 的 辅助 ， 因 此 还 得 要 . 的 领 
域 正解 档 。 


综合 起 来 说 ， 乌 哥 需 要 设 定 到 的 档案 就 有 这 几 个 : 
1. named.conf (主要 配置 文件 ) 














2. named.centos.vbird (主要 的 centos.vbird 的 正解 模 ) 
3. named.192.168.100 (主要 的 192.168.100.0/24 的 反 解 档 ) 
4. named.ca (由 bind 软件 提供 的 . 正解 档 ) 


如 果 我 还 想 要 加 入 其 他 的 领域 ， 例 如 niki.vbird 可 不 可 以 啊 ? 当然 可 以 
啊 ! 就 再 


多 一 个 数据 库 正 解 档案 即 可 ! ”还 有 ， 乌 哥 上 头 这 个 设 定 资料 为 内 部 私 
有 的 ， 所 以 你 可 


以 完全 照 着 玩 ! 并 不 会 影响 到 外 部 的 因特网 啦 ! ”只 是 ， 因 特 网 也 查 不 
到 你 的 DNS 设 定 


就 是 了 ~ 反正 是 练功 嘱 ! ^ 人 和 ^ 
至 于 数据 库 的 正 、 反 解 对 应 上 ， 依 据 实际 的 测试 环境 ， 规 划 如 下 ”( 亦 请 








参考 第 三 章 


3.2-1): 
操作 系统 与 卫 
主机 名 与 RR 标志 
说 明 

Linux 


master.centos.vbird (NS, A) DNS 设置 是 使 用 
(192.168.100.254) 

www.centos.vbird (A) 

master.centos.vbird 


net.qiang@hotmail.com 


linux.centos.vbird (CNAME) 这 个 DNS 服务 器 名 
ftp.centos.vbird (CNAME) 

称 。 

至 于 这 部 主机 的 刀 


forum.centos.vbird (CNAME) 一 个 主要 名 称 是 


www.centos.vbird (MX) 


www.centos.vbird, 


其 


Hy 


他 的 都 是 CNAME， 











未 来 比较 好 修改 。 
同时 

给 予 一 个 MX 的 标志 
给 主要 主机 名 喔 


slave.centos.vbird (NS, A) 未 来 作为 slave DNS 

Linux (192.168.100.10) clientlinux.centos.vbird(A) 的 接班 人 一 
一 部 经 常用 来 工作 的 

WinXP (192.168.1.101) workstation.centos.vbird (A) 工作 机 
一 部 用 来 测试 的 


WinXP (192.168.100.20) winxp.centos.vbird (A) 





Windows XP 

一 部 用 来 测试 的 

Win7 (192.168.100.30) win7.centos.vbird (A) 
Windows 7 


请 特别 留意 啊 ， 一 个 IP 可 以 对 应 给 多 个 主机 名 ， 同 样 的 ， 一 个 主机 名 
可 以 给 予 多 个 了 








喔 ! 主要 是 因为 那 部 www.centos.vbird 的 机 器 未 来 的 用 途 相 当 的 多 ， 乌 
哥 和 希望 那 一 


部 主机 有 多 个 名 称 ， 以 方便 未 来 额外 的 规划 啊 。 所 以 就 对 该 卫 对 应 了 
四 个 主机 名 啊 ! 





Tips: 
在 自家 设 的 没有 经 过 合法 授权 的 DNS 最 好 不 要 以 Internet 上 面 
已 经 存在 的 领域 名 来 练习 染 设 ! 举例 来 说 ， 假 设 今天 你 以 


192.168.100.254 那 部 机 器 来 架设 *.yahoo.com 的 领域 ， 因为 我 








将 192.168.100.254 放置 在 第 一 位 ， 导 致 每 次 的 查询 其 实 
yahoo.com 这 个 领域 的 数据 都 是 直接 由 192.168.100.254 所 提供 ， 
这 很 不 好 一 因为 可 能 会 造成 你 的 客户 端的 不 便 一 

19.4.4 步骤 二 : 主 配置 文件 /etcnamed.conf 的 设置 


这 个 配置 文件 较 多 的 options 参数 我 们 已 经 在 _19.3.3 里 面谈 过 ， 在 我 们 
目前 的 


案例 中 ， 则 必须 要 将 forwarders 相关 功能 取消 ， 并 加 上 禁止 传输 zone 
file 的 参数 


即 可 。 至 于 zone 的 设 定 上 ， 必 须要 包含 上 个 小 节 谈 到 的 三 个 主要 的 
zone 喔 ! 因此 这 


个 档案 的 任务 是 : 
options: 规范 DNS 服务 器 的 权限 (可 和 否 查询、forward 与 否 等 ); 











zone: 设 定 出 zone (domain name) 以 及 zone file 的 所 在 (包含 


master/slave/hint):; 


其 他 : 设 定 DNS 本 机 管理 接口 以 及 其 相关 的 密 钥 档案 (key file)。( 本 


稍 后 进 阶 应 用 再 谈 ) 

net.qiang(Ohotmail.com 

那 就 直接 看 一 下 乌 哥 的 范本 吧 : 

[root@www ~]# vim /etc/named.conf 

options { 

directory "/var/named"; 

dump-file "/var/named/data/cache_dump.db"; 
statistics-file "/var/named/data/named stats.txt"; 
memstatistics-file "/var/named/data/named_ mem,_ stats.txt"; 
allow-query { any; }; 

recursion yes; 


allow-transfer { none:; }; // 不 许 别 人 进行 zone 转移 


}; 
Zone "." IN { 
type hint; 


file "named.ca"; 
}; 
zone "centos.vbird" IN { // 这 个 zone 的 名 称 


type master; // 是 什么 类 型 


file "named.centos.vbird"; / 档案 放 在 哪里 

}; 

Zone "100.168.192.in-addr.arpa" IN { 

type master; 

file "named.192.168.100"; 

}; 

在 options 里 面 仅 新 增 一 个 新 的 参数 ， 就 是 allow-transfer， 意 义 为 : 
allow-transfer ( none; }; 

是 否 允 许 来 自 slave DNS 对 我 的 整个 领域 数据 进行 传送 ? 这 个 设 定 值 与 


master/slave DNS 服务 器 之 间 的 数据 库 传 送 有 关 。 除 非 你 有 slave DNS 
服务 器 ， 


售 则 这 里 不 要 开放 喔 ! 因此 这 里 我 们 先 设 定 为 none。 

至 于 在 zone 里 面 的 设 定 值 ， 主 要 则 有 底下 几 个 : 

zone 内 的 相关 参数 说 明 

设 定 值 

该 zone 的 类 型 ， 主 要 的 类 型 有 针对 . 的 hint， 以 及 目 己 手动 修改 





type 
数据 库 档 案 的 master， 与 可 目 动 更 新 数据 库 的 slave。 
file 


就 是 zone file 的 柳 名 啊 ! (注意 chroot 与 否 哟 ! ) 


反 解 zone 主要 就 是 in-addr.arpa 这 个 玩意 儿 ! 请 参考 19.4.2 的 解释 
net.giang(@hotmail.com 
0 


0 


为 何 档 名 都 是 named 开头 呢 ? 这 只 是 个 习惯 而 已 ， 你 也 可 以 依据 自己 的 
习惯 来 订 定 档 


名 的 。 经 过 上 面 的 说 明 ， 所 以 我 们 会 知道 ，zone ”fie ” 档 名 部 是 透 过 


named.conf 这 个 
配置 文件 来 规范 的 啊 ! 
19.4.5 步骤 三 : 最 上 层 . (root) 数据 库 档 案 的 设 定 


从 图 19.1-4 可 以 知道 . 的 重要 性 ! 那么 这 个 . 在 哪里 呢 ? 事实 上 ， 它 是 
由 


INTERNIC 所 管理 维护 的 ， 全 世界 共有 13 部 管理 . 的 DNS 服务 器 呢 ! 
相关 的 最 新 设 


定 在 : 





ftp://rs.internic.net/domain/named.root 
要 不 要 下 载 最 新 的 资料 随 你 便 ， 因 为 我 们 的 CentOS 6.x 内 的 bind 软件 


己 经 提供 


了 一 个 名 为 named.ca 的 档案 了 ， 乌 哥 是 直接 使 用 系统 提供 的 数据 啦 。 
这 个 档案 的 内 容 


有 点 像 这 样 : 





[root@www ~]# vim /var/named/named.ca 


. <== 这 里 有 个 小 数 点 518400 IN NS A.ROOT-SERVERS.NET. 


A.ROOT-SERVERS.NET. 3600000 IN A 198.41.0.4 


# 上 面 这 两 行 是 成 对 的 ! 

代表 点 由 A.ROOT-SERVERS.NET. 管理 ， 
并 附 上 IP 查 

询 


. <== 这 里 有 个 小 数 点 518400 IN NS M.ROOT-SERVERS.NET. 
M.ROOT-SERVERS.NET. 3600000 IN A 202.12.27.33 
M.ROOT-SERVERS.NET. 3600000 IN AAAA 2001:dc3::35 

# 上 上面 这 三 行 是 成 对 的 ， 代 表 M 开头 的 服务 器 有 A 与 AAAA 的 记录 


相关 的 正解 标志 NS, A, AAAA 意义 ， 请 回 _19.4.1 去 查询 ， 这 里 不 再 解 
释 。 比较 特殊 


的 是 ， 由 于 考虑 IPv6 未 来 的 流行 性 ， 因 此 很 多 部 . 服务 器 都 加 上 
AAAA 的 IPv6 功 


能 吃 。 这 个 档案 的 内 容 你 不 要 修改 啊 一 因为 这 个 内 容 是 Internet 上 面 通 
用 的 数据 ， 


一 般 来 说 ， 也 不 会 常常 变动 ， “所 以 不 需要 更 动 他 ， 将 他 放置 到 正确 的 
目录 并 改 成 你 所 


指定 的 档 名 即 可 啊 ! 接 下 来 可 以 看 看 其 他 正解 档案 啦 ! 
19.4.6 步骤 四 : 正解 数据 库 档 案 的 设 定 


再 来 开始 正解 档 的 设 定 吧 ! 正解 文件 一 定 要 有 的 ”RR 标志 有 底下 几 个 
喔 : 


关于 本 领域 的 基础 设 定 方面 : 例如 快 取 记 忆 时 间 (TTL)、 领 域名 
(ORIGIN) 








等 ， 
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关于 master/slave 的 认证 方面 (SOA); 
关于 本 领域 的 领域 名 服务 器 所 在 主机 名 与 IP 对 应 (NS, A); 
其 他 正 反 解 相关 的 资源 记录 (A, MX, CNAME 等 )。 


相关 的 RR 意义 请 回 19.4.1 去 查询 。 此 外 ， 这 个 档案 的 特殊 符号 也 得 跟 
大 家 报告 

Re 

字符 

所 有 设 定数 据 一 定 要 从 行 首 开始 ， 前 面 不 可 有 空格 符 。 奉 有 空格 

一 定 从 行 首开 始 符 ， 代 表 延 续 前 一 个 domain 的 意思 一 非常 重要 一 


这 个 符号 代表 zone 的 意思 ! 例如 写 在 named.centos.vbird 中 ， 








@ 代表 centos.vbird.， 如 果 写 在 named.192.168.100 档案 中 ， 

@ 

则 @ 代表 100.168.192.in-addr.arpa. 的 意思 (参考 

named.conf 内 的 zone 设 定 ) 

这 个 点 (.) 很 重要 ! 因为 他 代表 一 个 完整 主机 名 (FQDN) 而 不 是 
仅 有 hostname 而 已 。 举 例 来 说 ， 在 named.centos.vbird 当中 





写 www.centos.vbird 则 代表 FQDN 为 www.centos.vbird.@ 


=> www.centos.vbird.centos.vbird. 喔 ! 因此 当然 要 写成 
www.centos.vbird. 才 对 ! 
代表 批注 符号 一 似乎 # 也 是 批注 一 两 个 符号 都 能 使 用 


乌 哥 打算 沿用 系统 提供 的 一 些 配 置 文件 ， 然 后 据 以 修改 成 为 马 哥 自己 需 
要 的 环境 。 整 个 


DNS 是 由 master.centos.vbird 这 部 服务 器 管理 的 ， 而 管理 者 的 email 为 
vbird@www.centos.vbird 这 个 。 整 个 正解 档 最 终 有 点 像 这 样 : 
[root@www ~]# vim /var/named/named.centos.vbird 


# 与 整个 领域 相关 性 较 高 的 设 定 包括 NS，A，MX，SOA 等 标志 的 设 定 
处 ! 


$TTL 600 





@ IN SOA master.centos.vbird. 
vbird.www.centos.vbird. ( 

2011080401 3H 15M 1W 1D ) ; 与 上 面 
是 同一 行 


@ IN NS master.centos.vbird. ; DNS 服务 器 


master.centos.vbird. IN A 192.168.100.254 ; DNS 服务 
器 IP 


@ IN MX 10 www.centos.vbird. ; 领域 名 的 邮 


件 服务 器 

# 针对 192.168.100.254 这 部 主机 的 所 有 相关 正解 设 定 。 
www.centos.vbird. IN A 192.168.100.254 
linux.centos.vbird. IN CNAME www.centos.vbird. 
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ftp.centos.vbird. IN CNAME www.centos.vbird. 
forum.centos.vbird. IN CNAME www.centos.vbird. 

# 其 他 几 部 主机 的 主机 名 正解 设 定 。 


slave.centos.vbird. IN A 192.168.100.10 





clientlinux.centos.vbird. IN A 192.168.100.10 
workstation.centos.vbird. IN A 192.168.1.101 
winxp.centos.vbird. IN A 192.168.100.20 


win7 IN A 192.168.100.30 ; 这 是 简化 的 写法 ! 


再 次 强调 ， 一 个 正解 的 数据 库 设 定 中 ， 至 少 应 该 要 有 s$TTL，SOA, NS 
(与 这 部 NS 主机 


名 的 A)， 乌 哥 将 这 些 基 本 要 用 到 的 标志 写 在 上 表 的 第 一 部 份 。 至 于 其 
他 的 ， 则 是 相关 


的 主机 名 正解 设 定 哆 。 ”如果 这 些 设 定 值 你 看 不 懂 ， 那 么 ， 可 以 肯定 的 
是 ， 请 回 19.4.1 


去 瞧 瞧 吧 ! 底下 强调 一 下 之 前 没有 讲 到 的 设 定 值 项 目 : 


关于 本 领域 的 一 些 设 定 值 

设 定 值 

说 明 

为 了 简化 每 笔 RR 记录 的 设 定 ， 因 此 我 们 将 TIL 挪 到 最 前 面 统一 设 定 。 
$TTL 

因为 鸟 哥 的 DNS 服务 器 还 在 测试 中 ， 所 以 TTL 写 了 个 比较 小 的 数值 ， 
可 以 存在 对 方 DNS 服务 器 的 快 取 600 秒 而 已 。 

这 个 设 定 值 可 以 重新 指定 zone 的 定义 。 在 预 设 的 情况 下 ， 这 个 正 反 解 
数据 库 档 案 中 的 zone 是 由 named.conf 所 指定 的 ， 就 是 zone 那个 参 


$ORIGIN 数 的 功能 。 不 过 ， 这 个 zone 是 可 以 改 的 ， 就 是 用 $ORIGIN 来 
修订 就 


是 了 。 通 向 这 个 设 定 值 不 会 用 到 的 


老实 次 ， 初 次 设 定 DNS 的 朋友 大 概 都 会 被 那个 小 数 点 (.) 玩 死 一 其 实 你 
不 要 太 紧 张 ， 


只 要 记 件 ; 


[ 加 上 了 . 表示 这 是 个 完整 的 主机 名 (FQDN)， 亦 即 是 "hostname + 
domain 


name" 了 ， 如 果 没 有 加 上 . 的 话 ， 表 示 该 名 称 仅 为 "hostname" 而 已 ! 
为 我 们 这 个 

配置 文件 的 zone 是 centos.vbird， 所 以 上 表 的 最 后 一 行 ， 乌 哥 只 写 出 主 
机 名 


(win7) ， 因 为 没有 小 数 点 结尾 ， 因 此 完整 的 FQDN 要 加 上 zone， 所 以 
主机 名 win7 代 











表 的 是 : win7.centos.vbird. 喔 ! 
19.4.7 步 又 五 :有 反 解 数据 库 档 案 的 设 定 


反 解 跟 正解 一 样 ， 还 都 需要 TTL, SOA, NS 等 等 的 ， 但 是 相对 于 正解 里 
面 有 A， 反 


解 里 面 则 仅 有 PTR 吗 ! 另外 ， 由 于 反 解 的 zone 名 称 是 很 怪 zz.yy.xx.in- 
addr.arpa. 


的 模样 ， 因 此 只 要 在 反 解 里 面 要 用 到 主机 名 时 ， 务必 使 用 FQDN 来 设 
定 啊 ! 更 多 与 反 


解 有 关 的 资料 ， 请 到 19.4.2 去 查阅 喔 ! 至 于 192.168.100.0/24 这 个 网 域 
的 DNS 反 


解 则 成 为 : 
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[root@www ~]# vim /var/named/named.192.168.100 

$TTL 600 

@ IN SOA master.centos.vbird. vbird.www.centos.vbird. ( 
2011080401 3H 15M 1W 1D ) 

@ IN NS master.centos.vbird. 

254 IN PTR master.centos.vbird. ; 将 原本 的 A 改 成 PTR 的 标志 
而 已 

254 IN PTR www.centos.vbird. ; 这 些 是 特定 的 卫 对 应 


10 IN PTR slave.centos.vbird. 


20 IN PTR winxp.centos.vbird. 

30 IN PIR win7.centos.vbird. 

101 IN PTR dhcp101.centos.vbird. ; 可 能 针对 DHCP (第 十 二 章 ) 的 
IP 设 定 

102 IN PTR dhcp102.centos.vbird. 

.…( 中 间 省 略 )…. 

200 IN PTR dhcp200.centos.vbird. 


因为 我 们 的 zone 是 100.168.192.in-addr.arpa. 这 一 个 ， 因 此 IP 的 全 名 部 
分 已 经 


含有 192.168.100 了 ， 所 以 在 上 表 当 中 的 最 左边 ， 数 值 只 需要 存在 最 后 
一 个 IP 即 可 。 


因此 254 就 代表 192.168.100.254 鄂 ! 此 外 ， 为 了 担心 DHCP 自动 分 配 
的 IP 没 有 


对 应 的 主机 名 ， 所 以 这 里 也 附 挂 了 192.168.100.{101~200} 的 主机 名 对 
应 喔 ! 


19.4.8 步骤 六 : DNS 的 启动 、 观 察 与 防火 墙 
DNS 的 局 动 也 太 简 单 了 吧 ? 就 直接 利用 系统 提供 的 启动 script 即 可 ! 
[root@www ~]# /etc/init.d/named restart <== 也 可 能 是 需要 restart 喔 


[root@www ~]# chkconfig named on 


但 即使 画面 上 出 现 的 是 『 确 定 」 或 『OK」， 都 不 见得 你 的 DNS 服务 是 
正常 的 。 所 以 ， 


请 你 『 务 必 」 查阅 /var/log/messages 的 内 容 才 行 ! 基本 上 ， 内 容 会 有 点 
像 这 样 : 





[root@www ~]# tail -n 30 /var/log/messages | grep named 


named[3511|: 


named -t 


starting BIND 9.7.0-P2-RedHat-9.7.0-5.P2.el6_0.1 -u 


/varnamed/chroot 


named[3511|: 


adjusted limit on open files from 1024 to 1048576 
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named[3511]: 
named[3511]: 
named[3511]: 
named[3511]: 
named[3511]: 
named[3511]: 
named[3511]: 
named[3511]: 
named[3511]: 
named[3511]: 
named[3511]: 


named[3511|: 


2011080401 


named[3511|: 


found 1 CPU, using 1 worker thread 

using up to 4096 sockets 

loading configuration from Vetcnamed.conf 

using default UDP/IPv4 port range: [1024, 65535] 
using default UDP/IPv6 port range: [1024, 65535] 
listening on IPv4 interface 1o, 127.0.0.1#53 
listening on IPv4 interface eth0, 192.168.1.100#53 
listening on IPv4 interface eth1, 192.168.100.254#53 
command channel listening on 127.0.0.1#953 
command channel listening on ::1#953 

the working directory is not writable 


Zone 100.168.192.in-addr.arpa/IN: loaded serial 


zone centos.vbird/IN: loaded serial 2011080401 


named[3511]: running 


上 面 的 输出 讯 电 中， 你 得 要 特别 注意 有 国 确 线 的 部 分 。 包 括 -t 


chroot_dir 是 设 定 


chroot 目录 的 位 置 ， 而 配置 文件 (configuration) 则 是 /etcnamed.conf， 
最 重要 


的 二 的 所 有 的 zone (hint 类 型 的 . 除外 ) 的 序号 (serial) 号 码 要 跟 你 的 数 
据 


内 容 一 致 才 行 ! 而 且 不 能 够 有 出 现 『 设 定 的 档 名 :数字 的 内 容 ， 否则 
肯定 束 是 配置 文 


件 有 问题 一 上 面 的 讯 上 县 看 起 来 还 算 OK 啦 ! 


在 上 述 的 输出 数据 当中 因为 信息 太 长 了 ， 上 所 以 乌 哥 将 登录 的 时 间 与 主机 
的 字段 拿 掉 


了 ! 上 面 是 顺利 局 动 时 的 状况 ， ”如 果 出 现 问题 怎 办 ? 通常 出 现 问 题 的 
原因 是 因为 : 


语法 设 定 错误 : 


这 个 问题 好 解决 ， 因 为 在 /var/log/messages 里 面 有 详细 的 说 明 ， 按 照 内 
容 去 


修订 即 可 ; 
逻辑 设 定 错误 : 
这 个 就 比较 困扰 了 ! 为 什么 呢 ? 因为 他 主要 发 生 在 你 设 定 DNS 主机 的 
时 候 ， 考 
虑 不 周 所 产生 的 问题 ! 例如 忘记 加 上 (.)， 系统 不 会 显示 错误 讯息 ， 但 


是 却 会 


造成 查询 的 误 判 ， 而 MX 设 定 的 主机 名 错误 ， 也 不 会 出 现 有 问题 的 讯 
恩 ， 但 是 














mail server 就 是 会 收 不 到 信 等 等 一 这 些 错误 都 需要 很 详细 的 DNS client 


的 测 
试 才能 知道 问题 的 所 在 。 


我 们 这 里 先 束 语法 设 定 错 误 方面 进行 介绍 ， 至 于 远 辑 设 定 的 问题 ， 那 个 


的 进行 测试 才能 知道 了 ~ 底下 的 错误 讯 姑 都 会 记录 在 /var/log/messages 
里 面 喔 ! 


named: /etc/named.conf:8: missing '; before 小 
# 注意 到 上 面 提 到 的 文件 名 与 数字 吗 ? 说 明 的 是 /etc/named.conf 的 第 8 
行 ， 


# 至 于 错误 是 因为 缺少 分 号 (;) 所 致 ! 去 修正 一 下 即 可 。 
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dns_rdata_fromtext: named.centos.vbird:4: near eol: unexpected end of 
input 


Zone centos.vbird/IN: loading master file named.centos.vbird: unexpected 
end of input 


_default/centos.vbird/IN: unexpected end of input 


# 指 的 是 named.centos.vbird 的 第 4 行 有 问题 ， 察 看 档案 内 容 第 4 行 是 





SOA 的 项 目 ， 
# 通常 是 SOA 那 五 个 数字 没有 完全 ! 赶紧 去 修订 一 下 即 可 啊 ! 


dns_rdata_fromtext: named.centos.vbird:7: near Www.centos.vbird.': 


not a valid number 

# 说 明 第 7 行 在 www.centos.vbird 附近 需要 有 一 个 合法 的 数字 ! 刚好 是 
MX ， 

# 所 以 ， 赶 紧 加 上 一 个 合法 的 数字 ， 去 瞧 瞧 改 改 即 可 ! 


通 第 最 大 的 问题 是 ... 打 错字 ! 所 以 ， 务 必要 慢 慢 打 字 ， 慢 慢 察 看 清楚 ， 
尤其 是 登录 文 


件 内 的 信息 喔 ! 都 处 理 完毕 之 后 ， 也 能 够 透 过 netstat 去 查 到 port 53 有 
在 监听 ， 


再 来 现 是 要 放行 人 家 的 查询 了 ! 所 以 ， 又 得 要 修改 防火 增 吕 ! 假设 你 
还 是 安装 乌 哥 的 


防火 墙 脚本 ， 那 么 接 下 来 就 是 : 











[root@www ~]# vim /usr/local/virus/iptables/iptables.rule 

# 找 到 如 下 两 行 ， 将 批注 拿 掉 即 可 ! 

iptables -A INPUT -p UDP -i $EXTIF --dport 53 --Sport 1024:65534 -j 
ACCEPT 

iptables -A INPUT -p TCP -i $EXTIF --dport 53 --sport 1024:65534 -j 
ACCEPT 

[root@www ~|]# /usr/local/virus/iptables/iptables.rule 

19.4.9 步骤 七 : 测试 与 数据 库 更 新 


在 上 面 的 设 定 部 搞定 ， 并 且 局 动 之 后 ， 你 的 DNS 服务 器 应 该 是 已 经 妥 
当 的 在 运作 


了 。 ” 那 你 怎么 知道 你 的 设 定 是 否 合 理 ? 当然 要 作 测试 喔 ! 测试 有 两 种 





方式 ， 一 种 是 藉 


由 client 端的 查询 功能 ， 目的 是 检验 你 的 数据 库 设 定 有 无 错误 ， 另 外 你 
也 可 以 连 上 


底下 这 个 网 站 : 
http://thednsreport.com/ 


这 个 网 站 可 以 帮 你 检验 你 的 ”DNS 服务 器 的 主要 设 定 是 人 否 有 问题 ! 不 
过 ， 这 个 网 站 


的 检验 主要 是 以 合法 授权 的 zone 为 主 ， 我 们 自己 乱 搞 的 DNS 是 没有 办 
法 检查 的 啦 ! 


真是 可 惜 一 好 了 ， 融 让 我 们 来 测试 测试 结果 吧 ! 首先 ， 得 将 DNS 服务 
器 目 己 的 


/etc/resolv.conf 改 成 如 下 模样 较 佳 : 
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[root@www ~]# vim /etc/resolv.conf 

nameserver 192.168.100.254 <== 目 己 的 卫 一 定 要 最 早出 现 ! 
nameserver 168.95.1.1 


接 下 来 ， 就 让 我 们 针对 上 面 较 重要 的 正 、 肥 解 信息 进行 检测 吧 ! 同样 
的 ， 鸟 哥 也 仪 列 出 


答案 的 部 分 而 已 ! 





#1. 检查 master.centos.vbird 以 及 www.centos.vbird 的 A 标志 
[root@www ~]# dig master.centos.vbird 


;; ANSWER SECTION: 


master.centos.vbird. 600 IN A 192.168.100.254 
[root@www ~]# dig www.centos.vbird 

;; ANSWER SECTION: 

www.centos.vbird. 600 IN A 192.168.100.254 

#2. 检查 ftp.centos.vbird 与 winxp 等 等 的 A 标志 
[root@www ~]# dig ftp.centos.vbird 

;; ANSWER SECTION: 

ftp.centos.vbird. 600 IN CNAME www.centos.vbird. 
www.centos.vbird. 600 IN A 192.168.100.254 
[root@www ~]# dig winxp.centos.vbird 

;; ANSWER SECTION: 

winxp.centos.vbird. 600 IN A 192.168.100.20 

# 3. 检查 centos.vbird 这 个 zone 的 MX 
[rootOwww~#dig -t mx centos.vbird 

;; ANSWER SECTION: 

centos.vbird. 600 IN MX 10 

www.centos.vbird. 

#4. 检查 192.168.100.254 及 192.168.100.10 的 反 解 
[root@www ~]# dig -x 192.168.100.254 


;; ANSWER SECTION: 


254.100.168.192.in-addr.arpa. 600 IN PTR www.centos.vbird. 
254.100.168.192.in-addr.arpa. 600 IN PTR master.centos.vbird. 
[root@www ~]# dig -x 192.168.100.10 

;; ANSWER SECTION: 

10.100.168.192.in-addr.arpa. 600 IN PTR slave.centos.vbird. 


测试 要 成 功 才 行 呀 ! 什么 是 成 功 呢 ?除了 要 真 的 有 数据 显示 之 外 ， 该 资 


料 是 否 正 是 你 要 


的 模样 ? 那 才 是 顺利 成 功 。 如 果 有 出 现 错误 的 信息 ， 例 如 找 不 到 


www.centos.vbird 之 


类 的 ， 那 融 失 败 了 ， 得 要 找 出 问题 才 行 。 
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0 
6 


另外 ， 如 果 你 的 数据 库 需 要 更 新 时 ， 应 该 做 哪些 举动 啊 ? 举例 来 说 ， 你 
的 茶 个 专机 


IP 或 者 主机 名 要 变更 ， 也 可 能 是 新 增 某 个 主机 名 与 IP 的 对 应 呢 ! 很 简 
单 啦 ， 通 常 这 


样 做 就 好 了 了: 


先 针对 要 更 改 的 那个 zone 的 数据 库 档案 去 做 更 新 ， 就 是 加 入 RR 的 
未 志 印 








日 
是 ! 


2. 更 改 该 zone file 的 序号 (Serial) ， 就 是 那个 SOA 的 第 三 个 参数 (第 一 


个 数字 )， 因 为 这 个 数字 会 影响 到 master/slave 的 判定 更 新 与 否 喔 ! 
3. 重新 启动 named ， 或 者 是 让 named 重新 读 取 配置 文件 即 可 。 


就 这 么 简单 啊 ! 不 过 大 家 常常 会 忘记 第 二 个 步骤 啦 ! 就 是 将 序号 变 大 
啊 ! 如 果 序 号 


没有 变 大 ， 那 master/slave 的 数据 库 可 能 不 会 主动 的 更 新 ， 会 造成 一 些 
困扰 喔 ! 


19.5 协同 工作 的 DNS: Slave DNS 及 子 域 授权 设 定 


我 们 在 本 章 一 开始 就 曾 谈 过 ，DNS “大 概 是 未 来 最 重要 的 网 络 服 务 之 
一 ， 因 为 所 有 的 


主机 名 需求 都 得 要 DNS 提供 才 行 。 因此 ，ISP 在 提供 domain name 注 
册 时 ， 就 强调 


人 
昌 ， 


Master/Slave DNS 架构 的 情况 会 比较 好 ! 为 什么 呢 ? 让 我 们 再 回忆 一 下 
Slave DNS 的 


特色 : 
为 了 不 间断 的 提供 DNS 服务 ， 你 的 领域 至 少 需要 有 两 部 DNS 服务 器 
来 提供 











碍 询 的 功能 ; 


承 上 ， 这 几 部 DNS 服务 器 应 该 要 分 散在 两 个 以 上 的 不 同 IP 网 域 才 
好 ; 


为 方便 管理 ， 通 常 除 了 一 部 主要 Master DNS 之 外 ， 其 他 的 DNS 会 使 


slave 的 模式 ; 


slave DNS 服务 器 本 身 并 没有 数据 库 ， 他 的 数据 库 是 由 master DNS 所 


提供 
的 ; 


master/slave DNS 必需 要 可 以 相互 传输 zone file 的 相关 信息 才 行 ， 这 
部 


份 需要 /etcnamed.conf 之 设 定 辅助 。 


除 此 之 外 ， 如 有 果 你 有 朋友 或 者 是 学 生 想 要 跟 你 要 一 个 子 域 ， 那 义 该 如 何 


设 定 另 一 部 
DNS 服务 器 呢 ? 就 让 我 们 依 序 来 谈 谈 嘿 ~ 
19.5.1 master DNS 权限 的 开放 


我 们 使 用 _ 19.4.3 的 案例 ， 继 续 来 架设 一 部 支持 该 案例 的 slave DNS 吧 ! 
基本 的 


假设 为 : 
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提供 slave DNS 服务 器 进行 zone transfer 的 服务 器 为 
master.centos.vbird 

centos.vbird 及 100.168.192.in-addr.arpa 两 个 zone 都 提供 给 slave 
DNS 使 用 

master.centos.vbird 的 named 仪 提供 给 slave.centos.vbird 这 部 主机 
进行 zone transfer 

Slave DNS server 架设 在 192.168.100.10 这 部 服务 器 上 面 (所 以 zone 


file 要 修订 ) 


如 上 所 示 ， 我 们 的 master.centos.vbird 这 部 服务 器 除了 named.conf 需要 
调整 


之 外 ， 两 个 zone file 也 都 需要 调整 ! 在 named.conf 当中 ， 需 要 设 定 哪 
个 IP 可 以 


对 我 的 zone 进行 传输 (allow-transfer)， 而 在 zone file 当中 ， 就 是 各 加 入 
一 笔 NS 


的 记录 即 可 ! 增加 的 部 分 如 下 所 示 : 

#1. 修订 named.conf， 主 要 修改 zone 参数 内 的 allow-transfer 项 目 
[root@www ~]# vim /etc/named.conf 

Zone "centos.vbird" IN { 

type master; 

file "named.centos.vbird"; 

allow-transfer { 192.168.100.10; }; // 在 这 里 新 增 slave 的 
IP 

}; 

Zone "100.168.192.in-addr.arpa" IN { 

type master; 

file "named.192.168.100"; 

allow-transfer { 192.168.100.10; }; // 在 这 里 新 增 slave 的 


IP 


下 


在 上 头 所 列 示 的 那 两 个 数据 库 档 案 当 中 ， 你 必须 要 新 增 所 需要 的 NS 标 
志 才 行 ! NS 对 


应 的 主机 名 为 slave.centos.vbird， IP 则 是 192.168.100.10 唤 ! 结果 如 
下 : 


#2. 在 zone file 里 面 新 增 NS 标志 ， 要 注意 需要 有 A( 正 解 ) 及 PTR( 反 解 ) 
的 





设 定 

[root@www ~]# vim /var/named/named.centos.vbird 
$TTL 600 

@ IN SOA master.centos.vbird. 
vbird.www.centos.vbird. ( 

2011080402 3H 15M 1W 1D ) 

@ IN NS master.centos.vbird. 

@ IN NS slave.centos.vbird. 
master.centos.vbird. IN A 192.168.100.254 
net.giang(@hotmail.com 

0 

slave.centos.vbird. IN A 192.168.100.10 
@ IN MX 10 www.centos.vbird. 


.…( 底 下 省 略 ).…. 


[root@www ~]# vim /var/named/named.192.168.100 
$TTL 600 

@ IN SOA master.centos.vbird. vbird.www.centos.vbird. ( 
2011080402 3H 15M 1W 1D ) 

@ IN NS master.centos.vbird. 

@ IN NS slave.centos.vbird. 

254 IN PTR master.centos.vbird. 

10 IN PTR slave.centos.vbird. 

…( 底 下 省 略 )..…. 


# 要 特别 注意 一 件 事 ， 那 就 是 ， 你 的 zone file 内 的 序号 要 增加 ! 乌 哥 测 
试 


日 期 是 8/4， 


# 第 2 次 进行 ， 所 以 序号 就 以 该 天 的 日 期 为 准 来 设计 的 ! 最 后 记得 


restart 


一 下 啦 ! 





[root@www ~|]# /etc/init.d/named restart 

[root@www ~]# tail -n 30 /var/log/messages | grep named 
starting BIND 9.7.0-P2-RedHat-9.7.0-5.P2.el6_0.1 -u named -t 
/var/named/chroot 

.…( 中 间 省 略 )…. 


Zone 100.168.192.in-addr.arpa/IN: loaded serial 2011080402 


Zone centos.vbird/IN: loaded serial 2011080402 

zone 100.168.192.in-addr.arpa/IN: sending notifies (serial 
2011080402) 

Zone centos.vbird/IN: sending notifies (serial 2011080402) 


反正 重新 局 动 过 named 后 ， 直 觉 记 得 就 是 要 奉 疝 messages 登录 信息 就 
对 了 。 从 上 表 


的 输出 来 看 ， 会 多 一 个 sending notifies (传送 注意 事项 ) 关键 词 的 数据 ， 
那 束 是 提 


醒 slave DNS 来 比 对 序号 大 小 了 ! 所 以 ， 你 说 ， 序 号 有 没有 很 重要 呢 ? 
当然 很 重要 啊 ! 


连 登 录 讯 姑 都 会 告知 序号 的 大 小 哩 ! 这 样 master DNS 就 设 定 妥当 呢 ! 
接 下 来 玩 玩 


Slave 的 设 定 吧 ! 
19.5.2 Slave DNS 的 设 定 与 数据 库 权 限 问题 


既然 Slave DNS 也 是 DNS 服务 器 嘛 ! 所 以 ， 当 然 也 是 需要 安装 bind， 
bind-chroot 


等 等 的 软件 ! 这 部 份 回去 _19.3.1 里 面 瞧 瞧 即 可 ， 反 正 记 得 使 用 yum 安 
装束 对 了 。 接 

下 来 得 要 设 定 named.conf 吧 ? 而 既然 Master/Slave 的 数据 库 是 相同 的 ， 
所 以 ， 理 论 


上 ， named.conf 内 容 就 是 大 同 小 异 哆 一 唯一 要 注意 的 就 是 zone type 类 
型 的 差异 ， 
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以 及 宣告 master 在 哪里 就 是 了 。 至 于 zone filename 部 分 ， 由 于 zone 


file 都 是 


从 master 取得 的 ， 透 过 named 这 个 程序 来 主动 建立 起 需要 的 zone file， 
因此 这 个 


zone file 放置 的 目录 权限 就 很 重要 ! 让 我 们 直接 来 处 理 看 看 : 


#1. 准备 named.conf 的 内 容 : 











[root@clientlinux ~]# vim /etc/named.conf 

.…( 前 面 的 部 分 完全 与 master.centos.vbird 相同 ， 故 省 略 )..… 
Zone "centos.vbird" IN { 

type slave; 

file "slaves/named.centos.vbird"; 

masters { 192.168.100.254; }; 

}; 

zone "100.168.192.in-addr.arpa" IN { 

type slave; 

file "slaves/named.192.168.100"; 

masters { 192.168.100.254; }; 

上 

# 2. 检查 zone file 预计 建立 的 目录 权限 是 否 正 确 ! 
底下 目录 为 系统 默认 值 : 





[root@clientlinux ~]#1 -d /var/named/slaves 


drwxrwx---. 2 named named 4096 2011-06-25 11:48 /var/named/slaves 


# J 使 用 者 以 及 群 组 三 个 字段 的 数据 ! 需要 与 named 这 个 用 户 
及 


组 有 关 ! 

[root@clientlinux ~]# 有 1 -dZ /varnamed/slaves 

drwxrwx---. named named system_u:object_r:named_cache t:s0 
/varnamed/slaves 

# 也 不 要 忘记 与 SELinux 有 关 的 事情 ! 


为 了 方便 使 用 者 设 定 ，CentOS 预 设 在 /var/named/slaves/ 处 理 好 了 相关 
权限 一 所 以 


你 可 以 轻松 的 处 理 权 限 问题 一 我 们 就 建议 你 的 slave zone file 放置 在 该 
目录 下 ! 所 


以 上 表 当 中 的 fle 参数 才 会 写 一 此 外 ， 那 个 masters 结尾 有 个 ss 
喔 ! 这 里 最 容 


易 写 错 一 那么 要 不 要 处 理 zone file 呢 ? 除了 named.ca 这 个 . 需要 主动 存 
在 之 外 ， 


另外 两 个 type slave 的 数据 库 档 案 ， 当 然 不 必 存 在 啊 ! 因为 会 从 master 
处 取得 嘛 ! 


接 下 来 ， 束 让 我 们 来 启动 named 并 进行 观察 吧 ! 
[root@clientlinux ~|]# /etc/init.d/mnamed start 

[root@clientlinux ~]# chkconfig named on 

[root@clientlinux ~]# tail -n 30 /var/log/messages | grep named 
starting BIND 9.7.0-P2-RedHat-9.7.0-5.P2.el6_0.1 -u named -t 


/varnamed/chroot 


loading configuration from Vetc/mamed.conf 

.…( 中 间 省 略 ).…. 
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避 

running 

Zone 100.168.192.in-addr.arpa/IN: Transfer started. 

Zone 100.168.192.in-addr.arpa/IN: transferred serial 2011080402 
Zone centos.vbird/IN: Transfer started. 


zone centos.vbird/IN: transferred serial 2011080402 <== 注 意 序 号 正确 


不 
口 








# 你 会 看 到 如 上 的 讯 具 ， 重 点 是 还 有 告知 序号 喔 ! 非常 重要 ! 
[root@clientlinux ~]# 有 1 /var/named/slaves 

-TW-r--T--. 1 named named 3707 2011-08-05 14:12 named.192.168.100 
-TW-I--T--. 1 named named 605 2011-08-05 14:12 named.centos.vbird 
# 这 两 个 zone file 会 主动 被 建立 起 来 呢 ! 

[root@clientlinux ~]# dig master.centos.vbird @127.0.0.1 
[root@clientlinux ~]# dig -x 192.168.100.254 @127.0.0.1 


# 上 述 两 个 检测 的 指令 如 果 是 正确 的 显示 出 A 与 PTR 的 话 ， 那 就 完成 
了 ! 


你 瞧 ! 如 此 一 来 你 的 zone file 就 会 主动 的 被 建立 起 来 喔 ! 未 来 如 果 你 的 
master DNS 








要 更 新 数据 库 时 ， 只 要 1 
DNS 就 会 跟 


着 更 新 啦 ! 啊 ! 真是 『 福 气 啦 ! 上 」! ! 不 过 ， 如 果 你 发 现 到 启动 slave 
DNS 时 ， 你 的 


多 改过 序号 ， 并 重新 局 动 named 后 ， 这 部 slave 














Zone centos.vbird/IN: Transfer started. 

transfer of 'centos.vbird/IN' from 192.168.100.254#53: connected using 
192.168.100.10#58187 

dumping master file: tmp-albYfCd3i3: open: permission denied 
transfer of 'centos.vbird/IN' from 192.168.100.254#53: failed while 
receiving 

responses: permission denied 

transfer of 'centos.vbird/IN' from 192.168.100.254#53: end of transfer 


如 果 出 现 类 似 这 样 的 讯 轧 时 ， 不 必 怀 疑 啦 ! 肯定 是 权限 错误 啦 ! 请 再 次 
检查 你 的 数据 库 


档案 所 放置 的 目录 权限 是 否 可 以 让 named 写 入 啊 ! 处 理 处 理 就 好 了 ! 现 
在 ， 你 的 DNS 会 


变 的 更 加 强壮 嘿 ! 因为 有 类 似 的 备 援 系 统 喝 ~~ 不 过 仍然 要 注意 的 是 ， 
网 络 碍 询 


centos.vbird 时 ，master 与 slave 的 地 位 是 相同 的 ， 并 不 是 master 挂 点 才 
使 用 


slave 来 查询 咀 ! 所 以 ， 这 两 部 服务 喜 的 相同 domain 的 数据 库 内 容 要 完 
= 








19.5.3 建 置 子 域 DNS 服务 器 : 子 域 授权 课题 
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除了 Master/Slave 需要 协同 DNS 服务 器 共同 提供 服务 之 外 ，DNS 之 间 
如 果 有 上 


层 、 下 属 的 关系 时 ， 该 如 何 设 定 ?” ” 亦 即 ， 假 设 我 的 网 域 很 大 ， 我 只 想 
要 负 贡 上 层 的 DNS 


而 已 ， 下 层 希 望 直接 交 给 各 单位 的 负责 人 来 负责 ， 要 怎么 设 定 呢 ? 举 
个 例子 来 说 ， 以 


成 大 为 例 ， 成 大 计 中 仅 管 理 各 个 系 所 的 DNS 服务 器 IP 而 已 ， 由 于 各 个 
系 所 的 主机 数 


量 可 能 很 大 ， 如 果 每 个 人 都 要 请 计 中 来 设 定 ， 那 么 管理 员 可 能 会 饮 
掉 ， 而 且 在 实际 设 
计 上 也 不 太 人 性 化 。 


所 以 哆 ， 计 中 就 将 各 个 subdomain ( 子 域 ) 的 管理 权 交 给 各 个 系 所 的 主机 


管理 员 去 


管理 ， 如 此 一 来 ， 各 系 所 的 设 定 上 面 会 比较 灵活 ， 且 上 层 DNS 服务 哟 
管理 员 也 不 用 太 


麻烦 响 ! 
好 了 ， 那 么 如 何 开 放 子 域 授权 呢 ? 我 们 以 刚刚 在 master 上 面 建立 的 


centos.vbird 这 个 zone 为 例 ， 假设 今天 你 是 个 ISP ， 有 个 人 想 要 跟 你 申 
请 domain 


name ， 他 要 的 domain 是 『 niki.centos.vbird 」， 那 你 该 如 何 处 理 ? 
上 层 DNS 服务 器 : 亦 即 是 master.centos.vbird 这 一 部 ， 只 要 在 


centos.vbird 那个 zone file 内 ， 增 加 指定 NS 并 指向 下 层 DNS 的 主机 名 


与 
IP (A) 即 可 ， 而 zone file 的 序号 也 要 增加 才 行 ; 


Ua 服务 器 : 申请 的 领域 名 必须 是 上 层 DNS 所 可 以 提供 的 名 
称 ， ) 站 


知 上 层 DNS 管理 员 ， 我 们 这 个 zone 所 需 指定 的 DNS 主机 名 与 对 应 的 
IP 印 可 。 


然后 就 开始 设 定 自己 的 zone 与 zone file 相关 数据 。 
假设 我 们 管理 niki.centos.vbird 的 服务 器 主机 名 为 dns.niki.centos.vbird ， 


而 这 部 主机 的 IP 为 192.168.100.200， 那 接 下 来 就 让 我 们 实际 来 设 定 
吧 ! 


上 层 DNS 服务 器 : 只 需 新 增 zone fle 的 NS 与 A 即 可 
上 层 DNS 的 处 理 真是 简单 到 爆炸 ! 我 们 只 要 修改 ”master DNS 


(www.centos.vbird 


那 一 部 ) 里 面 的 named.centos.vbird 这 个 正解 档案 即 可 。slave DNS 不 用 
修改 ， 是 因 


为 他 会 自动 更 新 嘛 ! 新 增 如 下 的 数据 即 可 : 
[root@www ~]# vim /var/named/named.centos.vbird 
@ IN SOA master.centos.vbird. 
vbird.www.centos.vbird. ( 

2011080501 3H 15M 1W 1D ) 


# 上 面 的 SOA 部 分 序号 加 大 ， 底 下 新 增 这 两 行 即 可 (原本 的 数据 都 保留 
不 





动 )! 

niki.centos.vbird. IN NS dns.niki.centos.vbird. 

dns.niki.centos.vbird. IN A 192.168.100.200 
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[root@www ~]# /etc/init.d/named restart 

[root@www ~]# tail -n 30 /var/log/messages | grep named 

Aug 5 14:22:36 www named[9564]: zone centos.vbird/IN: loaded serial 
2011080501 

# 登录 档 的 关键 是 上 面 的 序号 部 分 一 必须 是 我 们 填写 的 新 的 序号 才 对 1! 
[root@www ~]# dig dns.niki.centos.vbird @127.0.0.1 

# 你 会 发 现 是 错误 的 ! 找 不 到 A 喔 ! 


上 层 DNS 的 设 定 非常 简单 ! 只 要 修改 zone file 即 可 一 不 过 ， 由 于 zone 
file 指定 


的 是 NS 的 查询 权 功 能 ， 因 此 ， 最 后 那个 指令 在 dig dns.niki.centos.vbird 
时 ， 


会 找 不 到 ”A 喔 ! 那 是 正常 的 一 因为 ” 192.168.100.200 ”尚未 设 定好 


niki.centos.vbird 


领域 嘛 ! 所 以 追踪 的 结果 并 没有 发 现在 192.168.100.200 有 


a 


的 Zone 所 以 当然 找 不 到 。 此 时 数据 库 的 管理 权 在 192.168.100.200 
上 上 啦 ! 


可 以 理解 吗 ? 再 来 处 理 下 层 DNS 吧 ! 


下 层 DNS 服务 器 : 需要 有 完整 的 zone 相关 设 定 


下 层 的 DNS 设 定 就 与 19.4 的 详细 内 容 一 样 了 ! 所 以 在 这 里 我 们 仅 列 出 
重要 的 项 


目 : 

#1. 修改 named.conf ， 增 加 zone 的 参数 ， 假 设 档 名 为 
named.niki.centos.vbird 

[root@niki ~]# vim /etc/named.conf 

.…( 前 面 省 略 ).…. 

Zone "niki.centos.vbird" IN { 

type master; 

file "named.niki.centos.vbird"; 

}; 

#2. 建立 named.niki.centos.vbird 

[root@niki ~]# vim /var/named/named.niki.centos.vbird 
$TTL 600 

@ IN SOA dns.niki.centos.vbird. root.niki.centos.vbird. ( 
2011080501 3H 15M 1W 1D ) 

@ IN NS dns.niki.centos.vbird. 

dns IN A 192.168.100.200 


www IN A 192.168.100.200 


@ IN MX 10 www.niki.centos.vbird. 

@ IN A 192.168.100.200 
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0 

# 为 了 简化 整个 片面， 所 以 乌 哥 都 使 用 hostname 而 非 FQDN! 请 见谅 ! 
# 3. 局 动 并 观察 相关 登录 信息 





[root@niki ~]# /etc/init.d/named restart 

[root@niki ~]# tail -n 30 /var/log/messages | grep named 
…( 前 面 省 略 )..… 

zone niki.centos.vbird/IN: loaded serial 2011080501 
…( 压 下 省 略 )..… 

# 同时 ， 记 得 处 理 一 下 防火 墙 的 放行 问题 ! 否则 测试 会 失败 ! ! 
[root@niki ~]# dig www.niki.centos.vbird (0192.168.100.254 

# 上 述 的 动作 必须 要 有 响应 才 行 ! 否则 就 会 出 问题 一 

19.5.4 依 不 同 接口 给 予 不 同 的 DNS 主机 名 :，view 功能 的 应 用 
想象 一 个 环境 ， 以 我 们 目前 的 局 域 网 络 服务 器 来 说 ， 我 的 


master.centos.vbird 有 





两 个 界面 ， 分 别 是 192.168.100.254/24 (对 内 ) 及 192.168.1.100/24 (对 
外 )， 那 当 


我 外 边 的 用 户 想 要 了 解 到 master.centos.vbird 这 部 服务 器 的 IP 时 ， 取 得 
的 竟然 是 


192.168.100.254， 因 此 还 得 要 透 过 NAT 才能 联机 到 该 接口 ， 但 明明 
192.168.100.254 


与 外 部 的 192.168.1.100 是 同一 台 服 务 器 主机 啊 ! 干 嘛 还 得 要 经 过 NAT 
转 到 内 部 接口 


呢 ? 有 没有 办 法 让 外 部 的 查询 找到 master.centos.vbird 是 192.168.1.100 
而 内 部 


的 找到 则 回应 192.168.100.254 呢 ? 可 以 的 ! 那 就 透 过 view 的 功能 ! 


那么 view 要 怎么 处 理 呢 ? 其 实 就 是 让 不 同 来 源 的 用 户 ， 能 够 取得 他 们 
自己 的 


Zone 啊 应 束 是 了 。 举 例 来 说 ， 当 用 户 来 自 10.0.0.1 时 ， 这 个 来 源 不 可 能 


古 内 部 


(192.168.100.0/24) ， 因 此 这 个 来 源 就 会 使 用 外 部 的 zone file 内 容 来 啊 
应 。 因此 ， 


我 们 就 得 要 准备 同一 个 zone 需要 两 个 不 同 的 设 定 ， 再 将 个 别 的 设 定 闪 
入 目 己 的 客户 端 


查询 当中 。 
现在 我 们 针对 这 个 概念 ， 对 于 乌 哥 的 区 网 设 定 view 的 原则 是 这 样 的 : 
建立 一 个 名 为 intranet 的 名 字 ， 这 个 名 字 代 表 客 己 端 为 

















192.168.100.0/24 的 来 源 ; 

建立 一 个 名 为 internet 的 名 字 ， 这 个 名 字 代 表 客 户 端 为 非 
192.168.100.0/24 的 其 他 来 源 

intranet 使 用 的 zone file 为 本 章 前 面 各 小 节 所 建立 的 zone filename， 
internet 使 用 的 zone flename 则 在 原本 的 档 名 后 面 累加 inter 的 扩展 名 ， 





并 修订 各 标志 的 结果 。 
再 次 强调 ， 最 终 的 结果 当中 ， 从 内 网 查 到 的 www.centos.vbird IP 应 该 是 
192.168.100.254， 而 只 要 不 是 乌 哥 内 网 来 源 的 客户 端 ， 查 到 的 


www.centos.vbird IP 


应 该 是 192.168.1.100 才 对 ! 那 束 让 我 们 来 实际 设 定 此 一 项 目 吧 ! 
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[root@www ~]# vim /etc/named.conf 

options { 

directory "/var/named"; 

dump-file "/var/named/data/cache_dump.db"; 

statistics-file "/var/named/data/named stats.txt"; 
memstatistics-file "/var/named/data/named_ mem,_ stats.txt"; 
allow-query { any; }; 

recursion yes; 

allow-transfer { none; }; 

}; 

acl intranet { 192.168.100.0/24; }; <== 针 对 intranet 给 予 的 来 
源 卫 指定 

acl internet { ! 192.168.100.0/24; any; } <== 加 上 惊叹 号 (!) 代表 反 
向 选择 的 意思 


view "lan" { <== 只 是 一 个 名 字 ， 代 表 的 是 内 


网 

match-clients { "intranet"; }; <== 吻 合 这 个 来 源 的 才 使 用 底下 
的 zone 

Zone "." IN { 

type hint; 

file "named.ca"; 

}; 

Zone "centos.vbird" IN { 

type master; 

file "named.centos.vbird"; 

allow-transfer { 192.168.100.10; }; 

}; 

zone "100.168.192.in-addr.arpa" IN { 

type master; 

file "named.192.168.100"; 

allow-transfer { 192.168.100.10; }; 

}; 

}; 

view "wan" { <== 同 样 ， 只 是 个 名 字 而 已 ! 


match-clients { "internet"; }; <== 代 表 的 则 是 外 网 的 internet 


来 源 

Zone "." IN { 

type hint; 

file "named.ca"; 

上 
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Zone "centos.vbird" IN { 

type master; 

file "named.centos.vbird.inter"; <== 档 名 必须 与 原 有 的 
不 同 ! 

}; 

/ 外 网 因为 没有 使 用 到 内 网 的 IP， 
所 以 IP 反 解 部 分 可 以 不 写 于 此 
}; 


3 i 
5 


named.centos.vbird.inter 吧 ! 

[root@www ~]# cd /var/named 

[root@www named]# cp -a named.centos.vbird named.centos.vbird.inter 
[root@Wwww named|# vim named.centos.vbird.inter 


$TTL 600 


@ IN SOA master.centos.vbird. 

vbird.www.centos.vbird. ( 

2011080503 3H 15M 1W 1D ) 

@ IN NS master.centos.vbird. 

master.centos.vbird. IN A 192.168.1.100 

@ IN MX 10 www.centos.vbird. 

www.centos.vbird. IN A 192.168.1.100 

linux.centos.vbird. IN CNAME www.centos.vbird. 

ftp.centos.vbird. IN CNAME www.centos.vbird. 

forum.centos.vbird. IN CNAME www.centos.vbird. 
workstation.centos.vbird. IN A 192.168.1.101 

[root@www named|# /etc/init.d/named restart 

[root@www named]# tail -n 30 /var/log/messages 

[root@www named]# dig www.centos.vbird (0192.168.100.254 
www.centos.vbird. 600 IN A 192.168.100.254 

# 要 得 到 上 面 的 耳 才 是 对 的 吗 ! 因为 接口 来 自 于 192.168.100.0/24 网 段 
[root@wwww named]# dig www.centos.vbird @192.168.1.100 
www.centos.vbird. 600 IN A 192.168.1.100 

# 要 得 到 上 面 的 耳 才 是 对 的 吗 ! 因为 接口 来 自 非 192.168.100.0/24 网 段 


有 没有 很 简单 ! 这 样 就 能 让 你 的 DNS 依据 不 同 的 用 户 来 源 ， 分 别 给予 
同一 个 主机 名 的 


不 同 解析 呢 ! 
例题 : 
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你 的 网 站 读者 非常 的 多 ， 但 是 分 布 在 世界 各 地 。 你 想 让 亚洲 区 的 读者 联 
机 到 台湾 的 


站 人 台 ， 而 其 他 国家 的 联机 则 连 到 美国 的 站 台 ， 但 又 不 想 要 让 使 用 者 上 自己 
挑选 不 同 的 主机 


名 ， 想 使 用 同一 组 主机 名 ， 此 时 该 如 何 是 好 ? 


A 和 5 。 
Er。 





ee 
同 IP 目标 ， 


亦 即 是 透 过 ”view ”来 规范 即 可 。 不 过 ， 与 上 述 乌 哥 的 区 网 简单 范例 不 
同 ， 我 们 得 要 收集 


亚洲 区 的 IP 才 行 ， 这些 区 段 可 能 可 以 透 过 底下 的 网 站 来 取得 : 
五 大 洲 的 IP 管理 所 属 人 : http://www.iana.org/numbers/ 
每 个 单位 的 IP 分布: 





http://www.iana.org/assignments/ipv4-address-space/ipv4-address-space 
.xml 

台湾 地 区 IP 分 布 : 
http://rms.twnic.net.tw/twnic/User/Member/Search/main7.jsp?Order=inet 
aton2028Startip2629 
然后 再 透 过 acl 以 及 view 来 规范 即 可 。 乌 哥 的 收集 资料 如 下 ， 如 宁 有 





误 ， 还 请 

告知 ! 

acl asia { 1.0.0.0/8; 14.0.0.0/8; 27.0.0.0/8; 36.0.0.0/8; 
39.0.0.0/8; 

42.0.0.0/0; 49.0.0.0/8; 58.0.0.0/8; 59.0.0.0/8; 
60.0.0.0/8; 

61.0.0.0/8; 101.0.0.0/8; 103.0.0.0/8; 106.0.0.0/8; 
110.0.0.0/8; 

111.0.0.0/8; 112.0.0.0/8; 113.0.0.0/8; 114.0.0.0/8; 
115.0.0.0/8; 

116.0.0.0/8; 117.0.0.0/8; 118.0.0.0/8; 119.0.0.0/8; 
120.0.0.0/8; 

121.0.0.0/8; 122.0.0.0/8; 123.0.0.0/8; 124.0.0.0/8; 
125.0.0.0/8; 

126.0.0.0/8; 175.0.0.0/8; 180.0.0.0/8; 182.0.0.0/8; 
183.0.0.0/8; 

202.0.0.0/8; 203.0.0.0/8; 210.0.0.0/8; 211.0.0.0/8; 
218.0.0.0/8; 

219.0.0.0/8; 220.0.0.0/8; 221.0.0.0/8; 222.0.0.0/8; 


223.0.0.0/8; 


139.175.0.0/16; 140.0.0.0/8;150.116.0.0/16;150.117.0.0/16; 
163.0.0.0/8; 168.95.0.0/16;192.0.0.0/8; 

}; 

acl nonasia { ! "asia"; any; }; 


如 上 所 示 ， 加 入 asia 与 nonasia 的 相关 设 定 ， 再 使 用 view 来 处 理 相 关 的 


ZOLIIe ， 
并 修改 zone file 内 容 ， 就 能 够 处 理 好 这 个 案例 的 需求 哆 ! 
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D 
19.6 DNS 服务 器 的 进 阶 设 定 


、 DNS 服务 器 的 运作 原理 与 架设 方式 的 变化 ， 真 的 很 高 深 英 测 
J! 在 这 里 


我 们 额外 的 提出 一 些 比较 进 阶 的 内 容 给 大 家 参考 参考 ， ”例如 架设 一 个 
合法 授权 的 DNS 


服务 器 以 及 利用 mdc 控 管 DNS 系统 喔 ! 
19.6.1 架设 一 个 合法 授权 的 DNS 服务 器 


好 啦 ! 现在 你 应 该 知道 什么 是 『 经 上 游 授权 的 合法 DNS 服务 器 上 了 
吧 ? 没 错 ! 就 


是 上 游 的 DNS 服务 器 将 子 域 的 查核 权 开 放 给 你 来 设 定 就 对 啦 ! 嗯 ! 虽 
然 知 道 原 理 ， 但 


是 那么 我 要 如 何 来 架设 一 个 合法 的 DNS 服务 器 呢 ? 好 让 我 自己 管理 自 
己 的 domain! 举 














例 来 说 ， 乌 哥 的 vbird.idv.tw 就 是 乌 册 上 自己 管理 的 哩 一 底下 我 们 就 来 谈 
一 谈 ， 如 何 回 


ISP 申请 一 个 合法 授权 的 DNS 服务 器 ， 或 者 是 合法 的 主机 名 啊 ! 








1. 申请 一 个 合法 的 domain name ... 就 是 要 花 钱 ! 


既然 是 要 建立 一 个 合法 的 DNS server， 自 然 就 要 向 合法 的 ISP 申请 授权 
虽 ! 目前 


你 可 以 到 底下 的 地 方 去 申请 喔 ! 
http:/www.twnic.net/index3.php 


其 实 TWNIC 已 经 将 台湾 地 区 的 一 些 domain 授权 给 各 大 ISP 管理 了 ， 
所 以 你 连接 


上 述 的 网 站 之 后 ， 可 以 点 选 里 头 相 关 的 连结 到 各 大 ISP 去 注册 ! 例如 乌 
哥 就 在 Hinet 


注册 了 vbird.idv.tw 这 个 网 域 ! 现在 乌 哥 就 以 Hinet 的 注册 做 为 说 明 吧 : 


1. 进入 主 画 面 : 





直接 连结 到 底下 的 网 页 去 : http://domain.hinet.net 
2. 选择 需要 的 域名 ， 并 查询 该 网 域 是 否 已 存在 : 
因为 网 域 必需 是 独一无二 的 ， 所 以 你 必需 使 用 该 网 页 当中 提供 的 查询 功 


化 
有 He， 


查询 一 下 你 想 要 的 网 域 是 否 已 经 锐 注 册 了 呢 ? 一 定 要 没有 被 注册 的 网 域 
才 可 以 


喔 ! 
3. 逐步 进行 注册 : 











你 可 以 选择 很 多 种 类 的 领域 来 注册 ， 如 果 想 要 注册 个 人 网 站 ， 请 按 下 图 
所 指 的 (1) 


处 ， 如 末 想 要 注册 类似 vbird.tw 这 种 网 域 的 话 ， 则 可 以 选择 (2) 所 指 的 
那 人 4 


项 目 。 然 后 以 该 网 站 提供 的 功能 一 步 一 步 的 往 下 去 进行 ， 
本 和 


网 址 上 」 之 注册 为 例 ， 按 下 个 人 网 址 之 后 ， 会 出 现 流 程 步骤 为 : 


例如 以 马 哥 


net.qiang@hotmail.com 


伏 英文 域名 【com tworg ,twinet,tw) 


Wooeeeeeeseseeeceeeoeseoeeeeeeoeeeeeeesoeeeeeeoeeen 


RE 
友 狗 域 名 称 申请 De 
> 身份 确认 


» 二 炭 流 葛 通 #0 博 改 
» 信用 卡 滑 葛 作 米 
> 上 呈 TMI 电 瞧 ) 激 费 作 业 
» DNS 黑 种 禹 查询 
> 着 I 密码 黑 动 ~ 避 
» 用 户 咨 料 查询 黑 动 
» 尊 域 名 称 移 朝 
» 感 理 港 度 查 询 9 
份 中 文 网 域 (twy ,台湾 ) 
全 泛 用 型 英文 域名 mi 
合 国际 域名 〈,com) 


指定 型 能 说 明 : 

台湾 币 路 资讯 中 心 提 供 Hos T 凡 指 定 服务 (DNS2 代 管 )， 但 只 有 三 部 Host 的 限 
制 ， 若 您 的 主机 数 超 六 三 部 或 需要 IP 以 外 的 各 二 (如 MX record 
record) 请 自行 架设 定 DNS，DNS 盟 Host 型 能 扔 法 外 存 。 


re 


Ybirdidy tw 指定 型 能 


0 主机 @DNS 





DNSiHost Server Name 


IP Address 





| 


[as vtiuiqvtw 


[140.116.44.180 一 一 一 2 





一 一 一 一 


一 一 一 一 











ll ll 


一 一 一 一 








一 一 一 一 





图 19.6-1、 以 Hinet 网 站 为 依据 介绍 注册 domain 的 方法 


1 最 后 你 会 得 到 一 组 账号 密码 ， 束 能 够 修改 
ES 


的 领域 啦 ! 
4. 选 择 网 站 代 管 或 架设 DNS 模式 : 


我 们 可 以 直接 请 ISP 帮 有 我 们 设 定好 host 对 应 IP 就 好 (最 多 三 部 )， 当 然 也 
口 














以 自行 设 定 一 下 我 们 所 需要 的 DNS 服务 器 啦 ! 如 果 未 来 你 可 能 会 架设 


mail 


oe ， 所 以 还 是 自行 设 定 DNS 主机 好 了 ! 你 可 以 选择 图 19.6-1 在 (3) 


指 的 [DNS 腊 动 与 伍 询 上 项目， 会 出 现下 面 图 标 。 记 得 选择 TDNS] 
及 填写 你 的 


hostname 与 正确 的 IP 即 可 喔 ! 注意 : 要 填 选 这 个 项 目 ， 最 好 你 的 IP 是 
固定 


制 的 ， 浮 动 制 的 IP 不 建议 用 这 个 选项 ! 
图 19.6-2、 以 Hinet 网 站 为 依据 介绍 注册 domain 的 方法 
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0 





2. 以 DNS # 的 详细 设 定 (19.4) 之 设 定 内 容 来 设 定 你 的 主机 : 
如 果 你 已 经 以 DNS 服务 器 的 方式 申请 了 一 个 domain name ， 那 么 你 就 


必须 要 设 定 


你 的 DNS 主机 了 ! 请 注意 ， 这 个 情况 之 下 ， 你 只 要 设 定 你 的 注册 的 网 
域 的 正解 即 可 ! 


反 解 部 分 则 先 不 要 理会 ， 当 然 ， 如 果 你 有 办 法 的 话 ， 最 好 还 是 请 上 层 的 
ISP 帮 你 设 定 


嘿 ! 


3. 测试: 
设 定 一 部 合法 的 DNS 完毕 后 ， 建 议 你 可 以 到 这 个 网 站 去 查询 一 下 你 的 


设 定 是 否 妥 
当 ， 
http://thednsreport.com/ 


如 此 一 来 ， 你 的 DNS 主机 上 面 设 定 的 任何 信息 ， 都 可 以 透 过 Internet 上 
面 的 任 


何 一 部 主机 来 查询 到 喔 ! 够 棒 吧 ! 心动 了 吗 ? 赶快 去 试看 看 吧 ! 和 ^^ 
19.6.2 LAME Server 的 问题 


或 许 你 曾经 在 /var/log/messages 里 面 看 到 类 似 这 样 的 讯息 : 





[root@www ~]# more /var/log/messages 

1 Oct 5 05:02:30 test named[432]: lame server resolving 
'68.206.244.205. 

in-addr.arpa' (in '206.244.205.in-addr.arpa'?): 205.244.200.3#53 
2 Oct 5 05:02:31 test named[432]: lame server resolving 


'68.206.244.205. 


in-addr.arpa' (in '206.244.205.in-addr.arpa?): 206.105.201.35#53 
3 Oct 5 05:02:41 test named[432]: lame server resolving 
'68.206.244.205. 

in-addr.arpa' (in "206.244.205.in-addr.arpa'?): 205.244.112.20#53 


这 是 什么 东西 响 ? 根据 官方 提供 的 文件 资料 来 看 ( 在 你 的 CentOS 6.x 的 
夭 人 下 3 请 


察看 这 个 档案 『 /usr/share/doc/bind-9.7.0/arm/Bv9ARM.ch06.html 」 )， 
当 我 们 的 


DNS 服务 砷 在 向 外 面 的 DNS 系统 查询 茶 些 正 反 解 时 ， 可 能 由 于 『 对 
方 ] DNS 主机 的 
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0 
设 定 错误 ， 导 致 无 法 解析 到 预期 的 正 反 解 结 末 ， 这 个 时 候 就 会 发 生 所 谓 


的 lame server 
的 错 各 误 ! ! 


那么 这 个 错误 会 让 我 们 的 DNS 服务 器 发 生 什 么 严重 的 后 果 吗 ? 既然 仅 
是 对 方 的 设 


定 错 误 ， 所 以 自然 就 不 会 影响 我 们 的 DNS 服务 器 的 正常 作业 了 。 只 是 
我 们 的 DNS 主 


机 在 伍 询 时 ， 会 友 生 无 法 正确 解析 的 警告 讯 姑 而 已 ，， 这 个 讯 妃 虽然 不 
会 对 我 们 的 Linux 


主机 发 生 什 么 困扰 ， 不 过 ， 对 于 系统 管理 员 来 说 ， 要 天 天 查询 的 
/Var/log/messages 档 


案 竞 然 有 这 么 多 的 登录 信息 ， 这 是 很 讨 大 的 一 件 事 ! 











好 了 ， 我 们 知道 lame server 是 对 方 主机 的 问题 ， 对 我 们 主机 没有 影 啊 ， 
但 是 却 


又 不 想 要 让 该 讯 县 出 现在 我 们 的 登录 档 /var/log/messages 当中 ， 怎 么 达 
到 这 样 的 功 


能 呢 ? 呵呵 ! 就 直接 利用 BIND 这 个 软件 所 提供 的 登录 文件 参数 啊 ! 动 
作 很 简单 ， 在 


你 的 /etcnamed.conf 档案 当中 的 最 底下 ， 加 入 这 个 参数 即 可 : 
#1. 修改 /etc/named.conf 

[root@www ~]# vim /etc/named.conf 

/加 入 底下 这 个 参数 : 

logging { 

category lame-servers { null; }; 

}; 

#2. 重新 局 动 bind 

[root@www ~|]# /etc/init.d/named restart 


基本 上 ， 那 个 logging 是 主机 的 登录 文件 记录 的 一 个 设 定 项 目 ， 因 为 我 


们 不 要 lame 


server 的 信息 ， 所 以 才 将 他 设 定 为 无 (null) ， 这 样 就 改 完了 ! 记得 重新 
启动 named 


之 后 ， 还 是 要 察看 一 下 /var/log/messages 喔 ! 以 确定 named 的 正确 启动 
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后 ， 嘿 嘿 ， 以 后 就 不 会 看 到 lame server 咯 ! 


19.6.3 利用 RNDC 指令 管理 DNS 服务 器 














不 知道 你 会 不 会 沉 得 很 奇怪 ， 那 就 是 为 啥 局 动 DNS 后 ， 在 
/Var/log/messages 老 


是 看 到 这 一 句 话 : 
command channel listening on 127.0.0.1#953 


而 且 在 本 机 端的 port 953 还 多 了 个 named 所 启动 的 服务 ， 那 是 喻 ? 那 就 
是 所 谓 的 


mdc 了 。 这 个 mdc 是 BIND version 9 以 后 所 提供 的 功能 啦 ， 他 可 以 让 你 
很 轻松 的 


管理 你 自己 的 DNS 服务 器 嘱 ! 包括 可 以 检查 已 经 存在 DNS 快 取 当中 
的 资料 、 重 新 更 
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新 某 个 zone 而 不 需要 重新 启动 整个 DNS ， 以 及 检查 DNS 的 状态 与 统 
计 资料 等 等 的 ， 


挺 有 趣 的 ! 
不 过 ， 因 为 rndc 可 以 很 深入 的 管理 你 的 DNS 服务 器 ， 所 以 当然 要 进行 


一 些 控 管 











啦 ! 控 管 的 方式 是 经 过 mndc 的 设 定 来 建立 一 文 密 钥 (ndc key)， 并 将 这 
文 密 钥 相关 


的 信息 写 入 你 的 named.conf 配置 文件 当中 ， 重 新 启动 DNS 后 ， 你 的 
DNS 驶 能 够 厌 由 


mdc 这 个 指令 来 管理 嗓 ! 事实 上 ， 新 版 的 distributions 通常 已 经 帮 你 主 
动 的 建立 


好 mdc key 了 ， 所 以 你 不 需要 忙碌 一 不 过 ， 如 果 你 还 是 在 登录 档 当 中 
发 现 一 些 错误 ， 


例如 : 











couldn't add command channel 127.0.0.1#953: not found 


那 束 表示 你 DNS 的 mndc key 没有 设 定好 啦 ! 那 要 如 何 设 定 好 ? 很 简单 
一 只 要 先 建 并 


一 把 rndc key ， 然 后 加 到 named.conf 当中 去 即 可 ! 你 可 以 使 用 bind 提 
供 的 指令 来 


进行 这 样 的 工作 喔 ! 

#1. 先 建 六 rndc key 的 相关 数据 吧 ! 
[root@www ~]# rdc-confgen 

# Start of mdc.conf <== 底 下 没有 # 的 第 一 部 份 请 复制 到 /etc/mdc.conf 
中 

key "rndc-key" { 

algorithm hmac-md5; 

secret "UUqxyIwui+22CobCYFjSkg=="; 
}; 

options { 

default-key "rndc-key"; 

default-server 127.0.0.1; 

default-port 953; 

上 

# End of rndc.conf 


# 至 于 底下 的 key 与 controls 部 分 ， 则 请 复制 到 named.conf 且 解 开 # 


喔 ! 

# Use with the following in named.conf, adjusting the allow list as 
needed: 

# key "rndc-key" { 

# algorithm hmac-md5; 

# secret "UUqXyIwui+22CobCYFj5kg== 

# 

# controls { 

# inet 127.0.0.1 port 953 
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# allow { 127.0.0.1; } keys { "mdc-key"; }; 

# }; 

# End of named.conf 

# 请 注意 ， 这 个 rndc-confgen 是 利用 随机 数 计 算出 加 密 的 那 把 key ， 
所 以 每 次 执行 的 结果 都 不 一 样 。 所 以 上 述 的 数据 与 你 的 屏 磊 会 有 点 不 
司 。 


#2. 建立 mdc.key 档案 
[root@www ~]# vim /etc/rndc.key 


# 这 个 档案 当中 将 原本 的 数据 全 部 删除 ， 并 将 刚刚 得 到 的 结果 给 他 贴 


key "rdc-key" { 

algorithm hmac-md5; 

secret "UUqxyIwui+22CobCYFjSkg=="; 
}; 

#3. 修改 named.conf 

[root@www ~]# vim /etc/named.conf 

# 在 某 个 不 被 影响 的 角落 建 置 如 下 的 内 容 : 
key "rdc-key" { 

algorithm hmac-md5; 

secret "UUqxyIwui+22CobCYFjSkg=="; 
}; 

controls { 

inet 127.0.0.1 port 953 

allow { 127.0.0.1; } keys { "rndc-key"; }; 
}; 

[root@www ~|]# /etc/init.d/named restart 


建立 了 rndc key 并 且 启 动 DNS ， 同 时 你 的 系统 也 已 经 有 port 953 之 
后 ， 我 们 就 可 


人 mdc 这 个 指令 了 。 这 个 指令 的 用 法 请 直接 输入 rndc 来 查 
询 即 可 : 


[root@www ~]# rndc 


Usage: rndc [-c config] [-s server] [-p port] 

[-k key-file ] [-y key] [-V] command 

command is one of the following: 

reload Reload configuration file and zones. 

stats Write server statistics to the statistics file. 

dumpdb Dump cache(s) to the dump file (mamed_ dump.db). 
flush Flushes all of the server's caches. 

status Display status of the server. 

# 其 他 就 给 他 省 略 啦 ! 请 自行 输入 这 个 指令 来 参考 哆 ! 
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那 如 何 使 用 呢 ? 我 们 举 几 个 小 例子 来 说 明 吧 ! 

# 范例 一 : 将 目前 DNS 服务 器 的 状态 显示 出 来 
[root@www ~]# rndc status 

version: 9.7.0-P2-RedHat-9.7.0-5.P2.el6_0.1 

CPUs found: 1 

worker threads: 1 

number of zones: 27 <== 这 部 DNS 管理 的 zone 数量 
debug level: 0 <== 是 否 具 有 debug 及 debug 的 等 级 
xfers running: 0 


xfers deferred: 0 


soa dueries in progress: 0 

query logging is OFF <== 是 否 具 有 debug 及 debug 的 等 级 
recursive clients: 0/0/1000 

tcp clients: 0/100 

server is up and running <== 是 否 具 有 debug 及 debug 的 等 级 
# 范例 二 : 将 目前 系统 的 DNS 统计 数据 记录 下 来 
[root@www ~]# rndc stats 

# 此 时 ， 预 设 会 在 /varnamed/data 内 产生 新 档案 ， 你 可 以 去 查阅 : 
[root@www ~]# cat /varvnamed/datamnamed_stats.txt 

+++ Statistics Dump +++ (1312528012) 

…( 中 间 省 略 ).… 

++ Zone Maintenance Statistics ++ 

2 IPv4 notifies sent 

++ Resolver Statistics ++ 

…( 中 间 省 略 )..… 

++ Cache DB RRsets ++ 

[View: lan (Cache: lan)] 

[View: wan (Cache: wan)]| 

[View: _bind (Cache: _bind)] 


[View: _meta (Cache: meta)]| 


++ 9ocket IO Statistics ++ 

5 UDP/IPv4 sockets opened 

4 工 CP/IPv4 sockets opened 
2UDP/IPv4 sockets closed 

1 工 CP/IPv4 sockets closed 

2 工 CP/IPv4 connections accepted 
++ Per Zone Query Statistics ++ 

--- Statistics Dump --- (1312528012) 


# 范例 三 : 将 目前 高 速 缓存 当中 的 数据 记录 下 来 








[root@www ~]# rndc dumpdb 
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必 
# 与 stats 类 似 ， 会 将 cache 的 数据 放置 成 为 一 个 档案 ， 你 可 以 去 查阅 : 
# /var/named/data/cache_dump.db 


如 果 你 在 执行 mdc 指令 时 老 是 出 现 如 下 错误 : 





mdc: connection to remote host closed 
This may indicate that the remote server is using an older version of 
the command protocol, this host is not authorized to connect, 


or the key is invalid. 


这 表示 你 的 /etwrndc.key 与 /etc/mdc.conf 内 密 钥 的 编码 不 同 所 致 。 请 你 
自行 以 


上 述 的 rndc-confgen 的 方式 自行 处 理 你 的 mdc key ， 并 重新 启动 named 
印 可 啊 ! 


用 这 东西 管理 ， 你 就 不 需要 每 次 都 重新 启动 named 呢 ! 人 人 


19.6.4 架设 动态 DNS 服务 器 : 让 你 成 为 ISP 啦 ! 











什么 是 动态 DNS (Dynamic DNS, DDNS) 了 
里 面 提 到 ， 

如 果 我 们 本 身 是 以 拨 接 制 的 ADSL 连 上 Internet 时 ， 我 们 的 IP 通常 是 
ISP 随机 提 


供 的 ， 因 此 每 次 上 网 的 IP 都 不 固定 ， 所 以 ， 我 们 没有 办 法 以 上 面 的 
DNS 设 定 来 给 予 


这 种 连 上 Internet 的 方法 一 个 适当 的 主机 名 。 


也 因此 ， 如 果 我 们 想 要 利用 这 种 没有 固定 IP 的 联机 方法 染 设 网 站 时 ， 
就 得 要 有 特 


殊 的 管道 了 一 其 中 之 一 的 方法 就 是 利用 Internet 上 面 已 经 提供 的 免费 动 
态 IP 对 应 


主机 名 的 服务 ! 例如 : http://www.no-ip.org 。 


提供 这 样 的 服务 利用 的 是 什么 原理 呢 ? 基本 上 ， DNS 主机 还 是 得 要 提 
供 Internet 


相关 的 zone 的 主机 名 与 IP 的 对 应 数据 才 行 ， 所 以 ，DDNS 主机 区 必须 


要 提供 一 个 机 


制 ， 让 客户 端 可 以 透 过 这 个 机 制 来 修改 他 们 在 DDNS 主机 上 面 的 zone 
file 内 的 数据 


可 人行。 


那 会 不 会 很 难 啊 ? 不 会 啊 ! 我 们 的 BIND 9 就 有 提供 类 似 的 机 制 啦 ! 那 
就 是 利用 


update-policy 这 个 选项 ， 配 合 认证 用 的 key 来 进行 数据 文件 的 更 新 。 简 
单 的 说 ， 1) 


我 们 的 DDNS 主机 先 提 供 Client 一 把 Key (就 是 认证 用 的 数据 ， 你 可 以 
将 他 想 成 是 


账号 与 密码 的 概念 )， 2) Client 端 利 用 这 把 Key ， 并 配合 BIND 9 的 
nsupdate 指 


令 ， 就 可 以 连 上 DDNS 主机 ， 并 且 修 改 主机 上 面 的 Zone file 内 的 对 应 
表 了 。 感 觉 上 


很 像 很 简单 喔 ! 没 错 啊 ! 架设 上 真 的 很 简单 的 一 底下 我 们 就 来 尝试 设 
定 一 下 喔 : 


1. DDNS Server 端的 设 定 : 
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假设 我 有 一 个 朋友 ， 他 使 用 的 Linux 主机 的 卫 是 会 随时 变动 的 ， 但 是 


他 想 要 架 


设 Web 网 站 ， 所 以 他 向 我 申请 了 一 个 领域 名 ， 那 就 是 web.centos.vbird 
， 此 时 我 必 


需要 给 他 一 把 密 钥 ， 并 且 设 定 我 的 named.conf 让 centos.vbird 这 个 zone 
能 够 接 


受 来 自 客户 端的 数据 更 新 才 行 ! 首先 来 建立 这 把 密 钥 吧 ! 
[root@www ~]# dnssec-keygen -a [算法 ] -b [密码 长 度 ] -n [类 型 ] 名 称 
选项 与 参数 : 


-a : 后 面 接 的 [type] 为 演算 方式 的 意思 ， 主 要 有 RSAMD5, RSA, DSA, 
DH 








与 HMAC-MD5 等 。 建 议 你 可 以 使 用 常见 的 HMAC-MD5 来 演算 密码 ; 
-b : 你 的 密码 长 度 为 多 少 ? 通常 给 予 512 位 的 HMAC-MD5; 


-n ”: 后 面 接 的 则 是 客户 端 能 够 更 新 的 类 型 ， 主 要 有 底下 两 种 ， 建 议 给 
HOST 即 


可 : 
ZONE: 客户 并 可 以 更 新 任何 标志 及 整个 ZONE; 

HOST: 客户 病 仅 可 以 针对 他 的 主机 名 来 更 新 。 

[root@www ~]# cd /etc/named 

[root@www named]# dnssec-keygen -a HMAC-MDS5 -b 512 -n HOST web 
Kweb.+157+36124 

[root@www named]# ls -| 

-TW------- . 1 root root 112 Aug 5 15:22 Kweb.+157+36124.key 

-TW------- . 1 root root 229 Aug 5 15:22 Kweb.+157+36124.private 

# 上 面 那 把 是 公 铀 ， 下 面 那 把 则 是 私 钥 档案 ! 

[root@www named]# cat Kweb.+157+36124.key <== 看 一 下 公 铀 ! 


web. IN KEY 512 3 157 
XZmUo80zG8f2O0Sg/cqH8Bqxk59Ho8....3s91jUxpFB4Q== 


# 注意 到 最 右边 的 那个 密码 长 度 ， 等 一 下 我 们 要 复制 的 仅 有 那个 地 方 ! 


人 将 公 钥 的 密码 复制 到 /etcnamed.conf 当中 ， 将 私 钥 传 


web.centos.vbird 那 部 主机 上 ! 好 了 ， 那 就 开始 来 修改 named.conf 内 的 
相关 设 定 吧 ! 


[root@www ~]# vim /etc/named.conf 

// 先 在 任意 地 方 加 入 这 个 Key 的 相关 密码 信息 ! 

key "web" { 

algorithm hmac-md5; 

secret "XZmUo80zG8f2O0Sg/cqH8Bqxk59Ho8....3s9I1jUxpFB4Q=="; 
}; 

/ 然后 将 你 原本 的 zone 加 入 底下 这 一 段 宣示 

Zone "centos.vbird" IN { 

type master; 

file "named.centos.vbird"; 

allow-transfer { 192.168.100.10; }; 

update-policy { 

net.giang(@@hotmail.com 

grant web name web.centos.vbird. A; 

上 

起 

[root@www ~]# chmod g+w /var/named 

[root@www ~]# chown named /var/named/named.centos.vbird 
[root@www ~|]# /etc/init.d/named restart 


[root@www ~]# setsebool -P named_write_master zones=1 


注意 到 上 头 的 grant web name web.centos.vbird. A; 那 一 行 ， grant 后 面 接 
的 就 是 


key 的 名 称 ， 也 就 是 说 ， 我 这 把 web 的 key 在 这 个 zone (centos.vbird) 里 
面 可 以 


修改 主机 名 web.centos.vbird 的 A 的 标志 ， 亦 即 是 修改 主机 的 IP 对 应 
啦 ! 语法 也 


就 是 : ”grant [key_name] name [hostname] 标签 也 就 是 说 ， 我 的 一 把 key 
其 实 可 以 


给 予 多 种 权限 喔 ! 就 看 你 如 何 规范 了 。 


设 定好 之 后 ， 由 于 未 来 客户 问 传 来 的 信息 是 由 我 们 主机 的 named 所 写 
入 ， 写 入 的 


目录 在 /var/named/ 当中 ， 所 以 你 必需 要 修改 一 下 权限 嘿 ! 给 他 重新 局 
动 DNS， 然 后 


观察 一 下 /var/log/messages 里 面 有 没有 错误 即 可 ! 如 此 一 来 ， DDNS 主 
机 端 就 设 定 


受 当 哆 ! 








2. Client 端的 更 新 : 


接 下 来 则 是 DDNS Client 端的 更 新 了 。 首 先 ， 你 必须 要 由 Server 端 取 得 
刚刚 建 


立 的 那 两 个 档案 ， 请 将 刚刚 建立 的 Kweb.+157+36124.key 及 
Kweb.+157+36124.private 利用 SSH 的 sftp 传送 到 客户 端 ， 亦 即 是 那 部 


web.centos.vbird 主机 上 头 ， 假设 你 已 经 将 这 两 个 档案 放置 到 
/usr/local/ddns 里 


面 去 ， 然 后 测试 看 看 : 

[root@web ~]# cd /usr/local/ddns 

[root@web ddnsl# nsupdate -k Kweb.+157+36124.key 

> server 192.168.100.254 

> update delete web.centos.vbird <== 删 除 原 有 的 

> update add web.centos.vbird 600 A 192.168.100.200 <== 更 新 到 最 新 的 
> Send 

> 最 后 在 此 按 下 [ctrl]+D 即 可 


请 注意 到 『 update add web.centos.vbird 600 A 192.168.100.200 」 这 行 ， 
他 的 意 


义 说 的 是 ， 新 增 一 笔 数据 ， 世 是 600 ， 给予 A 的 标签 ， 对 应 到 
192.168.100.200 的 


意思 一 至 于 nsupdate -k 后 面 加 的 则 是 我 们 在 Server 端 产生 的 那个 key 
档案 ! 
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然后 你 就 会 发 现 到 在 DNS 服务 器 端的 /varnamed/ 里 面 多 出 一 个 暂 存 
档 ， 那 就 是 


named.centos.vbird.jnl 当然 ，/Var/named/named.centos.vbird 就 会 随 着 客 
户 端的 


要 求 而 更 新 数据 喔 ! 
由 于 手动 更 新 好 像 挺 嘛 烦 的 ， 我 们 就 让 Client 自动 更 新 吧 ! 利用 底下 这 


个 Script 


即 可 ! 


[root@web ~]# vim /usr/local/ddns/ddns_update.sh 
#!/bin/bash 

PATH=/sbin:/bin:/usr/sbin:/usr/bin 

export PATH 


# 0. keyin your parameters 





basedir="/usr/local/ddns"# 基本 工作 目录 
keyfile="$basedir"/"Kweb.+157+36124.key" # 将 档 名 填 进 去 吧 ! 
tl=600# 你 可 以 指定 也 的 时 间 

喔 ! 

outif="eth0" # 对 外 的 联机 接口 ! 

hostname="web.centos.vbird" # 你 向 ISP 取得 的 那个 主 

机 名 啦 ! 

servername="192.168.100.254"# 就 是 你 的 ISP 啊 ! 

# Get your new IP 

newip=ifconfig "$outif" | grep 'inet addr' | \ 

awk '{print $2}' | sed -e "s/addr\://™\ 

checkip=echo $newip | grep "^[0-9]"if [ "$checkip" == "" ]; then 
echo "$0: The interface can't connect internet...." 

exit 1 


fi 


# create the temporal file 

tmpfile=$basedirtmp.txt 

cd $basedir 

echo "server $servername" > $tmpfile 

echo "update delete $hostname A " >> $tmpfile 

echo "update add $hostname $ttl A $newip" >> $tmpfile 
echo "send" >> $tmpfile 

# send your IP to server 

nsupdate -k $keyfile -v $tmpfile 


你 只 要 将 上 述 的 程序 里 面 ， 特 殊 字 体 的 部 分 给 他 修改 一 下 ， 就 能 够 以 
/etc/crontab 的 


方式 在 你 的 系统 内 目 动 执行 了 ! 这 文 程 序 你 也 可 以 在 底下 的 连结 下 载 : 
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0 
0 


http://linux.vbird.org/linux server/0350dns/ddns update.sh 


利用 BIND 9 所 提供 的 这 个 服务 ， 我 们 只 要 具有 一 组 固定 的 IP ， 并 问 
ISP 申请 


一 个 合法 授权 的 domain name， 就 可 以 提供 不 论 是 固定 或 者 是 非 固定 的 
IP 使 用 者 ， 


一 个 合法 的 主机 名 了 ! ， 并且， 使 用 者 也 可 以 自行 透 过 nsupdate 来 修改 








自己 的 卫 对 


应 ! 以 让 上 自己 的 主机 卫 永远 与 主机 名 保持 正确 的 对 应 ! 这 对 只 有 拨 接 
制 上 网 的 用 户 来 


说 ， 真 是 方便 啊 ! 
19.7 重点 回顾 


“在 Internet 当中 ， 任 何 一 部 合法 的 主机 都 具有 独一无二 的 主机 名 ， 这 
卜 主 








机 名 包含 了 hostname 与 domain name ， 并 称 为 Fully Qualified Domain 
Name 


(FQDN); 
0 IP 不 易 记 忆 的 困扰 ， 而 有 名 称 解 机器 的 产生 ， 首 
全 


/etc/hosts ， 而 后 则 是 DNS 系统 的 产生 ; 


人 Unix Like 的 机 器 当中 ， 都 是 以 BIND 这 个 柏 克 莱 大 学 发 展 的 软 


架设 DNS 服务 器 ; 


DNS 是 个 协议 的 名 称 ，BIND 则 是 一 个 软件 ， 这 个 软件 提供 的 程序 为 
named ! 


在 DNS 当中 ， 每 一 笔记 录 我 们 就 称 他 为 RR (Resource Record)。 

在 DNS 系统 中 ， 正 解 为 由 hostname 找 IP ， 而 反 解 则 是 由 I 了 P 找 
hostname ， 至 于 zone 则 是 一 个 或 者 是 部 分 网 域 的 设 定 值 ; 

在 bind 9 之 后 ， 预 设 的 情况 下 named 已 经 作 了 chroot 的 动作 。 


Slave 主机 本 和 丑 并 没有 自行 设 定 zone file ， 其 zone file 是 由 Master 


主机 传送 而 来 ， 因 此 ， master 主机 必须 要 针对 slave 主机 开放 
allow-transfer 的 设 定 项 目 才 行 
整个 DNS 搜寻 的 流程 当中 ， 知 找 不 到 本 身 的 数据 ， 则 会 癌 root(.) 要 


料 ; 


正解 的 纪录 (record) 主 要 有 : SOA，A，MX，NS，CNAME，TXT 及 
HINFO 等 ; 


反 解 的 纪录 主要 有 : SOA, PTR 等 ; 
DNS 查询 的 指令 主要 有 : ”host, nslookup, dig, Whois 等 等 ; 


在 载 入 了 named 这 个 daemon 之 后 ， 请 务必 前 往 /var/log/messages 家 


此 daemon 的 成 功 与 否 。 
19.8 本 章 习 题 
为 何 要 有 DNS 系统 : 


最 主要 的 功能 其 实在 于 Hostname 对 应 人 p 的 查询 ， 可 以 让 我 们 人 类 
计 和 


机 主机 名 连 上 Internet ， 而 不 必 背 诵 下 哩 ! 
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Like 系统 当中 ， 主 要 使 用 那个 软件 做 为 DNS 主机 的 架设 ， 同 
日 


又 是 使 用 那个 daemon 来 启动 DNS 系统 ? 
在 Unix Like 系统 当中 ， 使 用 BIND 这 个 软件 做 为 DNS 的 架设 ， 至 于 





daemon 则 是 使 用 named 这 个 daemon ! 


最 早 的 _ Internet 其 实 是 为 了 政府 人 员 可 以 连 上 网 络 以 进行 资源 的 分 
| 


外 ， 则 是 电子 邮件 的 使 用 。 而 在 早期 使 用 的 重要 档案 只 有 /etc/hosts 这 
广 ， 


请 教 这 个 hosts 档案 的 内 容 含 有 什么 项 目 ? 

这 个 档案 的 [格式 」 为 『 [IP] [主机 名 ] [主机 别名 (aliase)j]」 ， 而 ， 这 
个 档案 里 面 放置 了 至 少 一 行 ， 也 就 是 : 

127.0.0.1 localhost localhost.localdomain 


另外 ， 也 可 以 将 经 常 连接 的 主机 IP 与 HOSTNAME 的 对 应 给 他 写 进 
来 ! 


正解 档案 (forward) 反 解 档案 (reverse) 与 内 部 循环 使 用 的 档案 (loopback) 
主要 的 纪录 功能 为 : 


正解 文件 在 设 定 hostname 对 应 到 IP 的 纪录 ， 主 要 的 纪录 有 A, NS， 
SOA, 


MX, CNAME 等 等 ， 反 解 档 主 要 设 定 IP 对 应 到 Hostname 的 纪录 ， 主 要 
的 纪录 


为 SOA, NS 与 PTR 等 。 内 部 循环 则 是 localhost 与 127.0.0.1 的 对 应 
啦 ! 


在 主要 的 DNS 配置 文件 /etcnamed.conf 当中 ， 有 一 个 较为 特殊 的 档 


案 ， 
他 的 类 型 为 hint ， 请 问 这 个 档案 的 功能 为 何 ? 
这 个 档案 主要 是 由 rs.internic.net 所 下 载 下 来 的 ， 主 要 记录 了 root (.) 


这 个 zone 的 IP! 可 以 让 我 们 的 DNS Server 在 找 不 到 数据 库 时 ， 可 以 到 
区 本 


root 去 查询 数据 ! 


在 client 端 搜寻 HOSTNAME 对 应 到 IP 的 查询 时 ， 最 重要 的 档案 ， 
以 及 该 


档案 的 主要 用 途 为 何 ? 

/etc/nsswitch.conf : 可 以 用 来 设 定 查 询 主机 名 的 顺序 ! 例如 先 查 询 
/etc/hosts 再 查询 DNS 系统 ; 

/etc/hosts : 最 早 的 名 称 解析 器 ; 

/etc/resolv.conf: 这 就 是 DNS 系统 的 resolver (解析 器 ) 了 。 


一 般 来 说 ， 在 Client 端 使 用 的 查询 HOSTNAME 的 指令 大 多 使 用 什 
人 么 ? 


nslookup : 可 以 用 来 收集 一 部 主机 的 相关 信息 ; 
dig: 可 以 用 来 收集 详细 的 主机 信息 ; 
whois : 可 以 用 来 收集 详尽 的 DNS 主机 信息 。 
host 则 较为 简单 喔 ! 

请 问 named 重要 的 信息 登录 在 在 那个 档案 中 ? 

在 /var/log/messages 当中 
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19.9 参考 数据 与 延伸 阅读 





注 1: 可 以 找到 的 最 顶层 领域 名 (gTLD, ccTLD) 相关 查询 网 站 : 
http://www.whois365.com/tw/listtld 
http://icannwiki.org/GTLD and ccTILD 





Study Area 学 习 网 站 : 


http:/www.study-area.org/linux/servers/linux dns.htm 








对 于 想 要 架设 内 外 部 不 同 DNS 查询 功能 的 朋友 来 说 ， 可 以 参考 view 


http://www.study-area.org/tips/bind9 view.htm 

来 自 Red Hat 公司 的 一 份 教学 : 
http://www.redhat.com/magazine/026dec06/features/dns/?sc cid=bcm edms 
ept 007 

台湾 NIC 制作 的 很 棒 的 教学 : 
http://dns-learning.twnic.net.tw/bind/toc.html 


bind 的 view 应 用 : http://www.l-penguin.idv.tw/article/dns.htm 





管理 IP 的 单位 
http://rms.twnic.net.tw/twnic/User/Member/Search/main7.jsp?Order=inet 


aton%28Startip%29 
2002/12/10: 首次 完成 


2003/03/10: 修改 部 分 内 容 ， 并 且 新 增 LPI 相关 性 与 重点 整理 部 分 ! 


2003/09/10: 修改 了 部 分 的 版 面 ， 并 将 slave DNS 的 错误 修订 完毕 ! 








2005/07/19: 增加 了 SOA 内 五 个 数字 的 大 小 2006/10/17: 将 之 前 的 | 
章 移 动 到 此 处 


2006/10/20: 终于 一 不 容易 一 将 一 些 数据 给 他 修订 完毕 啦 ! 


2007/06/25: 小 州 大 大 来 信 告 知 Forwarding 与 cache-only 的 介绍 可 以 加 
以 修改 。 已 


经 处 理 成 为 这 样 。 2011/04/26: 将 旧 的 基于 CentOS 4.x 的 版 本 移动 到 此 
处 





2011/05/10: 增加 了 不 少 东 西 ， 包 括 将 view 也 加 进来 一 欢迎 大 家 参考 ! 
2011/08/04: 将 基于 CentOS 5.x 的 版 本 移动 到 此 处 


2011/08/05: 光 是 要 将 这 一 堆 东 西 测试 完毕 就 花 好 多 时 间 ! 这 一 版 的 
script 有 点 不 一 


样 ， 得 要 注意 喔 ! 
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第 二 十 童 、WWW 
最 近 更 新 日 期 : 2011/08/05 


我 们 最 第 讲 的 『 染 站 」 其 实 就 是 染 设 一 个 Web 网 站 啦 ! 那么 什么 是 
Web 呢 ? 那 就 是 全 球 信息 广播 的 意 


思 (World Wide Web)， 或 者 也 可 以 称 之 为 互连网 吧 ! 这 个 是 我 们 目前 的 
人 类 最 党 使 用 的 Internet 的 协 


议 之 一 啦 ! 通常 说 的 上 网 就 是 使 用 WWW 来 查询 用 户 所 需要 的 信息 
嘿 ! 目前 在 Unix-Like 系统 中 的 WWW 


服务 器 主要 就 是 透 过 Apache 这 个 服务 器 软件 来 达成 的 ， 而 为 了 动态 网 
站 ， 于 是 LAMP (Linux + Apache 


+MySQL + PHP) 就 这 么 产生 啦 ! 让 我 们 赶紧 来 进入 LAMP 的 世界 吧 ! 


20.1 WWW 的 简 史 、 资 源 b 务 器 








20.1.1 WWW 的 简 史 、HTML 与 标准 制订 (W3C 





20.2 WWW (LAMP) 服务 器 基本 设 定 


20.2.1 LAMP 所 需 与 其 结构 


20.2.2 Apache 的 基本 设 定 ; ”服务 器 环境 ，_ 中文 编码 ，_ 目录 权限 
(DocumentRoot, 























20.5.2 1 途 证 的 https 
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各 
20.5.4 防 砍 站 软件 
20.6 重点 回顾 


20.7 本 章 习 题 





20.1 WWW 的 简 史 、 资 源 以 及 服务 器 软件 


你 知道 网 络 为 什么 会 这 么 流行 吗 ? 其 实 都 是 WWW ， 造成 的 啦 。 早 在 
1993 年 左右 ， 


鸟 哥 初次 接触 到 网 络 ， ”当时 的 网 络 较 热门 的 大 概 就 是 一 些 资源 下 载 的 
FTP 网 站 以 及 很 


多 文字 热烈 讨论 的 BBS 站 了 。 数据 虽然 丰富 ， 不 过 ， 总 是 党 得 少 了 点 
fs 来 上 J 


研究 所 ， 为 了 课业 需要 ， 经 常 连 上 台湾 的 学 术 网 络 (TANET) 进行 一 些 
学 术 数 据 的 检索 ， 


当时 大 约 是 1996 年 左右 。 因为 上 网 就 是 要 找 数据 而 已 ， 所 以 就 慢 慢 的 











很 少 使 用 网 络 
J 


过 了 几 年 后 ， 再 次 使 用 图 形 接口 的 操作 系统 ， 竟 然 发 现 只 要 点 几 个 小 按 
钮 ， 就 会 有 


很 多 网 络 上 花花 绿绿 的 文字 与 图 案 ， ”有 的 网 站 甚至 提供 影 首 的 特效 ， 
当时 真是 相当 的 


讶 异 ! 不 过 ， 由 于 图 形 影 像 的 视觉 方面 要 比 BBS 纯 文 本 的 数据 吸引 
人 ， 目 然 造 成 很 多 


人 袁 欢 流连 在 因特网 上 ， 人 潮 多 当然 就 有 商机 ! 由 于 奇 货 可 大 ， 才 有 后 
来 90 年 代 末 期 


的 浏览 器 大 战 ， 这 个 商业 大 战 也 造成 后 来 WWW 标准 不 被 条 些 浏览 右 
所 支持 的 后 果 。 


这 些 年 由 于 搜索 引擎 、 个 人 网 志 (blog)、 社 群 网 站 (例如 facebook 等 )、 
知 若 手 














机 等 的 流行 ， 又 将 因特网 推 问 另 一 个 新 境界 ! 啊 ! ”要 学 的 东西 真是 很 
多 啊 ~~@_@。 抬 下 


让 我 们 来 了 解 了 解 什么 是 WWW 以 及 他 所 需要 的 服务 器 软件 ， 还 有 一 
些 浏览 右 相 关 的 信 


息 吧 ! 

20.1.1 WWW 的 简 史 、HTML 与 标准 制订 (W3C) 

因特网 (TCP/IP) 会 这 么 热门 ， 主 要 是 80 年 代 的 email 以 及 90 年 代 之 后 
的 

WWW 服务 所 造成 的 ! 尤其 是 WWW 这 个 玩意 儿 。 WWW 是 World 
Wide Web 的 缩写 ， 其 中 


Web 有 广播 网 的 意思 存在 ， 所 以 简称 为 全 球 信息 网 的 就 是 了 。WWW 





可 以 结合 文字 、 图 


形 、 影 像 以 及 声音 等 多 媒体 ， 并 透 过 可 以 让 鼠标 点 击 的 超 链 接 
(Hyperlinl 的 方式 将 


信息 以 Internet 传递 到 世界 各 处 去 。 


与 其 他 的 服务 器 类 似 的 ， 你 要 连结 上 WWW 网 站 时 ， 该 网 站 必需 要 提 
供 一 些 数据 ， 而 


你 的 客户 端 则 必需 要 使 用 可 以 解析 这 些 数据 的 软件 来 处 理 ， 那 就 是 浏览 
器 啦 ! 简单 的 来 


说 ， 你 可 以 这 样 瞧 一 瞧 WWW server/client 的 相关 性 : 
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利用 岗 址 向 伺服 占 提 出 要 求 
-一 一 一 一 一 一 一 一 一 





合 服 器 回报 所 要 求 的 资料 
上 相交 趾 多 媒 幅 档案 


<S 


1 EAre ee re 最 3 洪 市 机 
让 用 浏 必 器 上 报 已 辟 台 WWW 何 服 槛 惊 恰 


已 具有 可 供 泗 蜂 的 资料 
图 20.1-1、WWW 服务 器 与 客户 端 浏 览 占 之 间 的 联机 相关 性 
从 上 面 的 图 示 当 中 ， 我 们 大 概 可 以 得 到 一 些 观念 : 


WWW 服务 器 不 但 需要 一 个 可 让 客户 端 浏览 的 平台 ， 还 需要 提供 客户 
端 一 些 数 


据 才 行 ! 
服务 器 所 提供 的 最 主要 数据 是 超 文件 卷 标 语言 (Hyper Text Markup 


Language, HIML)、 多 媒体 档案 (图 片 、 影 像 、 声 音 、 文 字 等 ， 都 属于 多 
媒体 或 


称 为 超 媒体 )。 











HTML 只 是 一 些 纯 文 本 数据 ， 透 过 所 谓 的 卷 标 (<tag>) 来 规范 所 要 
示 的 数 


据 格 式 ; 


在 客户 端 ， 透 过 浏览 器 的 对 HTML 以 及 多 媒体 的 解析 ， 最 后 呈现 在 
用 户 的 屏 


幕 上 。 


HTML 的 格式 


如 上 所 提 到 的 相关 信息 ， 我 们 知道 服务 器 端 需要 提供 客户 端 一 些 数 据 ， 
而 这 些 数 据 


其 实 主 要 都 以 HTML 的 格式 来 呈现 的 。 那 么 什么 是 HTML 呢 ? 我 们 拿 
岛 哥 的 网 站 来 看 一 


下 好 了 。 你 可 以 使 用 任何 一 个 浏览 器 连结 到 _http:/linux.vbird.org， 然 后 
在 其 上 的 


0 选择 穴 看 原始 码 ， 你 就 能 发 现 该 网 页 是 如 何 写 
成 的 了 。 


<!DOCTYPE html PUBLIC "-/W3C/DTD XHIML 1.0 Transitional//EN" 





"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> 

<html xmlns="http:/www.w3.0rg/1999/xhtml" xml:lang="zh-TW" 
lang="zh-TW"> 

<head> 

…. 一 些 此 页 面 的 信息 解释 的 标 尖 数据 ， 例 如 title 与 整体 化 设计 等 等 … 


</head> 


<body style="margin:0; padding:0"> 

.在 浏览 器 显示 的 画面 中 ， 实 际 放置 在 浏览 器 上 面 的 数据 则 写 于 此 .… 
</body> 

</html> 
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HTML 之 所 以 被 称 为 卷 标语 言 就 如 同上 面 的 表格 所 示 ， 他 是 由 很 多 
<tag> 所 组 成 的 ， 除 


了 <!DOCTYPE> 的 部 分 是 在 宣告 底下 的 语法 应 该 用 第 几 版 的 HIML 解 
析 之 外 ，HTML 主 


要 是 由 <html> </html> 所 包含 起 来 ， 而 在 其 中 又 分 为 两 大 区 块 ， 一 个 是 
与 标 头 有 关 


的 <head> </head> 区 块 ， 包括 该 网 页 所 使 用 的 编码 格式 与 抬头 等 等 。 
另 一 部 份 则 是 


<body> </body> 所 含有 的 实际 网 页 内 容 数据 啦 。 


HTML 不 在 本 文 的 介绍 内 ， 你 可 以 在 市 面 上 找到 很 多 相关 的 书籍 。 而 传 
统 的 HTML 4 


实际 上 已 经 不 足以 满足 某 些 美工 人 员 及 程序 设计 师 的 需求 ， 因 此 ， 目 前 
还 有 改善 HTML 


显示 的 CSS 样式 表单 ， 可 以 让 很 多 程序 互相 取 用 的 XML， 还 有 最 新 一 
代 的 HIML5 等 


等 ， 都 值得 参考 喔 。 











WWW 所 用 的 协议 及 WWW 服务 器 简 史 -- 就 是 讲 古 时 间 


知道 了 WWW 的 server/client 架构 后 ， 再 来 我 们 要 讨论 的 是 ， 那 WWW 
是 埋 各 来 


的 啊 ? 伯 纳 斯 - 李 (Tim Berners-Lee) 在 1980 年 代为 了 更 有 效率 的 让 欧洲 
核 物 理 实 


验 室 的 科学 家 可 以 分 至 及 更 新 他 们 的 研究 成 果 ， “于 是 他 发 展 出 一 个 超 
文件 传输 协议 


(Hyper Text Transport Protocol HTTP)。 如 同 前 面 提 到 的 ， 在 这 个 协议 
上 面 的 服务 


器 需要 软件 ， 而 客户 端 则 需要 浏览 喜来 解析 服务 顺 所 提供 的 数据 。 那 
么 这 些 软件 怎么 


来 的 ? 


为 了 让 HITP 这 个 协议 得 以 顺利 的 应 用 ， 大 约 在 90 年 代 初 期 由 伊利 详 
大 学 的 国家 


超级 计算 机 应 用 中 心 (NCSA, http:/www.ncsaillinois.edu/) 开发 出 服务 器 
HTTPd 


(HTTP daemon 之 意 )。HTTPd 为 自由 软件 ， 所 以 很 快 的 领导 了 WWW 
服务 器 市 场 。 后 来 


网 景 通讯 (Netscape) 开发 出 更 强大 的 服务 器 与 相对 应 的 客户 端 浏览 右 ， 
那 就 是 大 家 曾 


经 熟悉 的 Netscape 这 套 软 件 啦 。 这 套 软 件 分 为 服务 器 与 浏览 器 ， 其 中 浏 
览 器 相对 便宜 ， 


不 过 服务 器 可 就 贵 的 吓人 了 。 所 以 ， 在 服务 器 市 场 上 主要 还 是 以 
HTTPd 为 主 的 。 


后 来 由 于 HTTPd 这 个 服务 器 一 直 没 有 区 善 的 发 展 ， 于 是 一 群 社 群 朋友 
便 发 起 一 个 


计划 ， 这 个 计划 主要 在 改善 原本 的 HTTPd 服务 器 软件 ， 他 们 称 这 个 改 


民 过 的 软件 为 
Apache， 取 其 『 一 个 修 修改 改 的 服务 器 (A patch server)」 的 双关 语 ! 


人 和 人 人! 这 个 Apache 
在 1996 年 以 后 便 成 为 WWW 服务 器 上 市 占 率 最 高 的 软件 了 
(http:/httpd.apache.org/)。 


浏览 器 (browser) 大 战 与 文 持 的 标准 


虽然 WWW 越 来 越 重要 ,但 相对 的 来 说 ， 客 户 端 如 果 没 有 浏览 器 的 话 
那么 他 们 当然 


就 无 法 去 浏览 WWW 服务 器 所 提供 的 数据 。 为 了 抢占 浏览 器 的 市 占 
率 ， 于 是 在 90 年 代 


末期 微软 将 正 浏览 器 内 建 在 Windows 操作 系统 内 ， 此 一 决定 也 让 当时 
相当 广泛 使 用 
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的 Netscape 浏览 器 (Navigator) 市 占 率 急速 下 降 。 后 来 网 景 公司 在 1998 
年 左右 将 


% 览 器 的 原始 码 部 分 开放 成 为 自由 软件 ， 采 用 Mozilla 通用 授权 (MPL) 





Mozilla (http:/www.mozilla.org/) 这 个 计划 所 开发 的 软件 可 不 止 浏览 器 而 
训 | ?9 


还 包括 邮件 处 理 软件 及 网 页 编辑 软件 等 等 。 “当然 啦 ， 其 中 最 出 名 的 台 
征 浏 览 右 软件 『 火 


狐狸 (firefoxz)j 啦 ! 那 这 玩意 儿 与 IE 有 啥 不 同 ? 由 于 下 是 整合 在 


Windows 操作 


系统 核心 内 ， 加 上 改版 的 幅度 太 慢 ， 甚 至 IE 使 用 的 HTML 标准 语法 解 
析 行 为 都 是 微 


软 自 定义 的 标准 ， 并 不 全 然 符 合 因 特 网 上 的 标准 规范 (W3C, 
http:/www.w3.o0rg/), 


导致 服务 嚣 端 所 提供 的 数据 并 无 法 在 所 有 的 浏览 器 上 都 显示 出 相同 的 样 
式 ， 而 且 客 户 


端 也 容易 受到 网 络 攻击 。 


firefox (http://moztw.org/) 的 发 展 就 标榜 小 而 美 ， 因 此 程序 相当 的 小 ， 所 
以 执 


行 效能 上 面 非常 的 快速 ， 此 外 ， 对 于 超 文件 的 解析 上 和 面 ， firefox 主要 
依据 w3c 所 制 


订 的 标准 来 发 展 的 ， 所 以 任何 以 w3c 的 标准 开发 的 网 站 ， 在 firefox 上 
面 就 能 够 得 到 


设计 者 所 希望 的 样式 ! 目前 firefox 已 经 针对 市 面 上 最 第 见 到 的 


Windows/Linux/Unix 

等 操作 系统 来 进行 支持 ， 大 家 可 以 多 多 使 用 喔 ! 人 人 ^ 

而 为 了 加 快 javascript 的 程序 运作 ， 并 且 加 快 浏览 的 速度 ，Google 自己 
也 推出 








一 个 浏览 器 ， 称 为 chrome 浏览 器 ， 这 个 浏览 器 就 如 google 的 搜索 引擎 
es 强调 


的 就 是 快速 ! 快速 ! 更 快速 ! 因此 ， 如 果 你 想 要 浏览 器 不 要 花花 绿绿 ， 
就 是 风格 简约 ， 


强调 速度 感 ， 那 么 google 的 这 个 chrome 自由 软件 浏览 器 也 可 以 玩 玩 
的 ! 


由 上 面 的 介绍 我 们 可 以 稍微 归纳 一 下 : 


WWW 是 依据 HTTP 这 个 协议 而 来 的 ， 分 为 服务 器 端 与 客户 端 ; 


AN 
展 而 来 ， 


为 日 由 软件 ; 


, Mozilla 是 一 个 自由 软件 的 开发 计划 ， 其 中 firefox 浏览 器 是 相当 成 功 
9 


作品 。 


3 目 己 的 网 页 数据 时 ， 尺 量 使 用 W3C 所 发 布 的 标准 ， 这 样 在 所 
I 浏 


览 器 上 面 才能 够 顺利 的 显示 出 你 想 要 的 样子 。 
20.1.2 WWW 服务 器 与 浏览 器 所 提供 的 资源 设 定 (URL) 


现在 我 们 知道 WWW 服务 器 的 重点 是 提供 一 些 数 据 ， 这 些 数据 必需 要 
征 客户 端的 浏 


览 句 可 以 文 持 显示 才 行 。 那么 这 些 数据 是 什么 类 型 啊 ? 很 简单 啊 ， 当 
然 大 部 分 吕 是 档 


案 吃 。 如 此 说 来 ， 我 们 必需 要 在 服务 器 端 先 将 数据 文件 写 好 ， ”并 且 放 
置 在 某 个 特殊 的 


目录 底下 ， 这 个 目录 束 古 我 们 整个 网 站 的 首页 了 ! 一般 来 说 ， 这 个 目 
录 很 可 能 是 在 


/Var/www/html/ 或 者 是 /srwwww/。 我 们 的 CentOS 预 设 在 /var/www/html 
喔 。 











那么 浏览 器 如 何 取得 这 个 目录 内 的 数据 呢 ? 你 必需 要 在 浏览 器 的 『 网 址 
列 」 输入 所 


需要 的 网 址 才 行 。 这 个 网 址 束 对 应 到 WWW 服务 器 的 某 个 档案 档 名 就 





是 了 。 不 过 ， 现 仿 
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的 浏览 器 功能 实在 很 多 ， 他 不 只 可 以 连 上 WWW  ， 还 可 以 连 上 类 似 
FTP 之 类 的 网 络 协议 。 


所 以 你 得 要 在 网 址 列 输入 正确 的 网 址 ， 这 个 网 址 包括 这 样 : 
< 协定 >://< 主 机 地 址 或 主机 名 >[:port]/< 目 录 资 源 > 


网 址 列 的 意义 


上 头 就 是 我 们 常常 听 到 的 URL (Uniform Resource Locator) 啦 ! 以 斜 线 作 
为 分 段 ， 


它 可 以 这 样 被 解释 : 
协定 : 
浏览 右 比 较 常 文 持 的 协议 有 http, https, ftp, telnet 等 等 ， 还 有 类 似 news,， 


gopher 等 。 这 个 协议 在 告知 浏览 占 『 请 你 利用 此 一 协议 连接 到 服务 器 
端 」 的 意 


思 。 举 例 来 说 ， 如 果 你 下 达 :http:/ftp.ksu.edu.tw_ 这 表示 浏览 器 要 连结 
到 昆 


山 科 大 的 http ( 亦 即 port 80) 的 意思 。 如 果 是 ftp:/ftp.ksuedu.tw 则 代 
2 | ftp (port 21) 啦 ! 因为 使 用 的 协议 不 同 ， 所 以 当然 响应 的 数据 





we 不 过 ， ”万 一 对 方 服务 器 的 塌 口 启动 在 非 正规 的 塌 号 ， 例 如 将 
http 局 


动 在 port 81 时 ， 那 你 就 得 要 这 样 写 : http://hostname:81/ 。 


主机 地 址 或 主机 名 : 


就 是 服务 器 在 因特网 所 在 的 IP 位 置 。 如 果 是 主机 名 的 话 ， 当 然 得 要 透 
过 名 称 解 


析 需 哆 ! 一 般 来 说 ， 虽 然 使 用 IP 融 能 够 典 设 WWW 网 站 ， 不 过 建议 你 
还 是 申请 


一 个 好 记 又 合法 的 主机 名 比较 好 ! 
目录 资源 : : 


OE 0 0 
源 啦 。 


J 鸟 哥 的 网 站 www 数据 放置 在 我 主机 的 /var/rwww/html/ 当 
， 上 所 以 


说 : 


o http://linux.vbird.org --> /var/www/html/ 





o http://linux.vbird.org/linux_basic/index.php --> 


/var/www/html/linux_basic/index.php 


为 外 ， 通 常 首 页 目录 乓 下 会 有 个 特殊 的 文件 名 ,例如 ”index.html 或 


index.??? 
等 。 举 例 来 说 ， 如 果 你 直接 按 下 : ”http:/inux.vbird.org 会 发 现 其 实 与 


http://linux.vbird.org/index.php 是 一 样 的 ! 这 是 因为 WWW 服务 器 会 主 
动 


的 以 该 目录 下 的 『 首 页 」 来 显示 啦 ! 
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所 以 啦 ， 我 们 的 服务 器 会 由 于 浏览 喜 传 来 的 要 求 协 议 不 同 而 给 予 不 一 样 
的 啊 应 数据 。 


那 你 了 解 到 网 址 列 的 意义 了 吗 ? 


WWW server/client 间 数 据 传 输 的 方式 


如 果 浏 览 器 是 以 http:/hostname 的 型 态 来 回 服务 器 要 数据 时 ， 那 么 浏览 
器 与 服 


务 强 端 是 如 何 传递 数据 的 呢 ? 基本 上 有 这 几 种 方法 : 
GET 


就 是 浏览 占 直 接 向 WWW 服务 器 要 求 网 址 列 上 面 的 资源 ， 这 也 是 最 党 
见 的 。 此 外 ， 


使 用 GET 的 方式 可 以 直接 在 网 址 列 输入 变量 喔 。 举 例 来 说 ， 乌 哥 的 讨 
论 区 有 一 





篇 提问 的 智 惹 ， 的 网 址 是 : 





发 现 那个 ?t=96 了 吗 ? tt 就 是 变量 ， 96 就 是 这 个 变量 的 内 容 。 如 果 你 将 
问号 


后 面 的 数据 拿 掉 时 ， 有 瞧 瞧 会 出 现 什么 后 果 ? 这 么 说 ， 你 可 以 明白 GET 
的 处 理 了 


吧 ? 
POST 


这 也 是 客户 端 同 服 务 器 端 提 出 的 要 求 ， 只 是 这 个 要 求 里 面 含有 比较 多 的 
数据 就 是 











和 
言 的 话 不 


在 会 在 浏览 器 冒 出 一 个 框框 让 你 填 入 资料 吗 ! ” 妆 按 下 传送 后 ， 那 些 框 
框 内 的 数 


据 就 会 被 浏览 器 包 起 来 传送 至 WWW 服务 器 了 。 POST 与 GET 不 相同 
喔 ，GET 可 


以 在 网 址 列 取 得 客户 端 所 要 求 的 变量 ， 不 过 POST 就 不 是 使 用 网 址 列 的 


功能 了 。 
HEAD 

服务 器 端 响 应 给 Client 端的 一 些 数据 文件 头 而 已 ; 
OPTIONS 

服务 器 端 啊 应 给 Client 端的 一 些 允 许 的 功能 与 方法 ; 
DELETE 

删除 未 些 资源 的 举动 。 


常见 的 是 GET 这 个 项 目 啦 ! 如 果 有 大 量 数据 由 客户 端 上 传 到 WWW 服 
务 器 端 时 ， 才 


会 使 用 到 POST 这 个 项 目 。 你 还 是 得 需要 注意 一 下 这 些 举动 ， 因 为 后 续 
的 登录 档 分 析 


内 容 都 是 使 用 这 种 动作 来 分 析 的 哟 ! 
20.1.3 WWW 服务 器 的 类 型 : 系统 、 平 台 、 数 据 库 与 程序 (LAMP) 


以 目前 的 网 络 世 界 来 说 ， 市 占 率 较 高 的 “WWW 服务 器 软件 应 该 是 
Apache 与 IIS 这 


两 个 玩意 儿 ， Apache 是 自由 软件 ， 可 以 在 任何 操作 系统 上 面 安 装 的 ， 
至 于 IIS 则 是 
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侠 用 音 忌 求 或 上 优 密 料 
一 一 一 一》 
根 还 苯 走 程式 熟 行 的 续 申 
<> 


前 端 使 用 关羽 PHP 种 
式 与 司 用 韦 hi 


Windows 家 族 开发 出 来 的 ， 仅 能 在 Windows 操作 系统 上 面 安装 与 执 
行 。 由 于 操作 系统 


平台 不 一 样 ， 所 以 其 上 安装 的 软件 当然 也 不 相同 。 ”底下 束 让 我 们 来 聊 
一 聊 目 前 网 站 的 


一 些 特色 吧 ! 





仅 提 供用 户 浏览 的 单 同 静态 网 页 


ee 或 许 有 提供 一 些 动画 
小 日 基 


本 上 就 仅 止 于 此 啦 ! 因为 单纯 是 由 服务 堪 单 问 提 供 数 据 给 客户 端 
Server 不 需要 与 


Client 端 有 互动 ， 所 以 你 可 以 到 该 网 站 上 去 浏览 ， 但 是 无 法 进行 进行 数 
据 的 上 传 喔 ! 


目前 主要 的 免费 虚拟 主机 大 多 是 这 种 类 型 。 所 以 ， 你 只 要 依照 ”HTML 
的 语法 写 好 你 的 网 


， 并 且 上 传 到 该 网 站 空间 上 ， 那 么 你 的 数据 就 可 以 让 大 家 浏览 了 ! 

















提供 用 户 互 动 接 口 的 动态 网 站 


这 种 类 型 的 网 站 可 以 让 服务 器 与 使 用 者 互动 ， 币 见 的 例如 讨论 区 论坛 与 


留言 版 ， 包 


括 一 些 部 落 格 也 都 是 属于 这 类 型 。 ”这 类 型 的 网 站 需要 的 技术 程度 比较 
高 ， 因 为 他 是 夭 


由 『 网 页 程序 语言 | 来 达成 与 使 用 者 互动 的 行为 ， 第 见 的 例如 PHP 网 
页 程序 语言 ， 配 


站 
说 明 ; 


可 











图 20.1-2、 动 态 网 站 的 网 页 程序 语言 与 数据 库 接口 
这 就 是 所 谓 的 服务 器 端 工作 任务 接口 (Server Side Include, SSD， 因 为 不 


论 你 


要 求 的 数据 是 什么 ， 其 实 都 是 透 过 服务 器 端 同一 文 网 页 程序 在 负责 将 数 
据 读 出 或 写 入 数 


据 库 ， ”处 理 完毕 后 将 结果 传 给 客户 端的 一 种 方式 ， 变 动 的 是 数据 库 内 
的 数据 ， 网 页 程 


序 其 实 并 没有 任何 改变 的 。 这 部 份 的 网 页 程序 包括 PHP，ASP，Perl... 很 


多 啦 ! 


另外 一 种 交互 式 的 动态 网 页 主要 是 在 客户 端 达 成 的 ! 举例 来 说 ， 我 们 可 
以 透 过 利用 


所 谓 的 Java scripts 这 种 语法 ， 将 可 执行 的 程序 代码 (java script) 传送 给 
客户 端 ， 


客户 端的 浏览 器 如 果 有 提供 java script 的 功能 ， 那么 该 程序 就 可 以 在 客 
户 端 的 计算 


机 上 面 运作 了 。 由 于 程序 是 在 客户 端 计算 机 上 执行 ，“ 因 此 如 果 服 务 圳 
端 所 制作 的 程序 


古 恶 意 的 ， 那 么 客户 端的 计算 机 残 可 能 会 遭 到 破坏 。 这 也 是 为 喻 很 多 




















浏览 器 都 已 经 将 
一 些 危险 的 java script 关闭 的 原因 。 
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另外 一 种 可 在 客户 端 执行 的 就 是 flash 动画 格式 ， 在 这 种 动画 格式 内 还 
可 以 进行 


程序 设计 ， 因此 客户 并 只 要 拥有 可 以 执行 flash 动画 的 软件 ， 那 就 可 以 
利用 这 个 软件 


来 达到 交互 式 的 对 谈 。 这 些 都 算是 动态 网 站 所 提供 的 功能 喔 ! 


从 上 面 的 次 明 你 可 以 知道 动态 网 站 是 目前 比较 热门 的 ， 像 是 近 两 年 来 如 
同 雨后春笋 


一 般 冒 出 来 的 个 人 部 落 格 (blog) 就 是 很 经 典 的 动态 网 站 之 一 。 而 由 图 
20.1-2 我 们 也 


知道 要 做 成 这 样 的 动态 网 站 你 必需 要 有 : 
支持 的 操作 系统 : 让 所 需要 的 软件 都 能 够 安装 执行 啊 ; 


可 运作 的 WWW 服务 器 : 例如 Apache 与 IIS 等 WWW 服务 器 平台 软 

















网 页 程序 语言 ， 包括 perl, PHP, JSP, CGI, ASP 等 等 都 算是 啦 ! 


数据 储存 之 数据 库 系统 包括 MySQL, MSSQL, PostgreSQL 以 及 甲骨 
区 


(Oracle) 等 等 。 


LAMP 平台 的 说 明 
在 整个 平台 设计 上 面 ， 目 前 常见 的 有 两 大 系统 ， 一 个 是 Linux 操作 系统 


上 面 ， 搭 


配 Apache + MySQL + PHP 等 而 达成 ， 这 个 系统 被 称 为 LAMP。 男 一 个 
则 是 微软 的 IS + 


MSSQL + ASP (NET) 服务 器 。 在 能 见 度 与 市 占 率 方面 ， 应 该 还 是 以 
LAMP 为 主 吧 ! 在 


LAMP 里 面 除 了 Linux 之 外 ， 其 他 三 个 小 东西 就 让 我 们 来 谈 谈 先 : 
0 Apache (http://www.apache.org) 
1995 年 以 前 就 有 很 多 的 WWW 服务 器 软件 ， 其 中 以 HTTPd 占有 率 较 


局 。 后 


HTTPd 经 过 多 次 虹 虫 的 修订 后 ， 才 在 1995 年 后 发 布 Apache (A patch 
server) 


的 啦 ! 这 东西 就 是 主要 提供 WWW 的 服务 器 平台 ， 后 面谈 到 的 PHP 必 
须要 在 这 玩 


意 儿 上 才能 运作 ! 
0 MySQL (http:/www.mysql.org/) 


传统 的 档案 读 取 是 很 麻烦 的 ， 如 果 你 只 要 读 取 该 档案 当中 的 一 小 部 分 ， 
系统 还 是 


会 将 整个 档案 读 出 来 ，“ 若 又 有 多 人 同时 读 取 同一 个 档案 时 ， 那 就 会 造 
成 效能 与 

系统 上 的 问题 ， 所 以 才 会 有 数据 库 系 统 的 推出 。 数据库 其 实 是 一 种 特 
殊 格式 的 

0 
仆 特 允 


0 因此 很 适合 多 人 同时 
写 入 与 查 








询 的 工作 。 


针对 数据 库 的 语法 有 所 谓 的 SQL 标准 语法 ， 任 何 根据 这 种 数据 检索 语 
法 发 展 出 


来 的 数据 库 ， 就 称 为 SQL 数据 库 。 比较 知名 的 自由 软件 数据 库 系 统 有 
MySQL 及 


PostgreSQL ， 其 中 MySQL 的 使 用 率 又 比较 高 一 些 。 MysQL 可 以 透 过 
网 页 程序 


语言 来 进行 读 写 的 工作 ， 因 此 很 适合 例如 讨论 区 、 论 坛 等 的 设计 ， 其 
至 很 多 商 


业 网 站 的 重要 数据 也 是 透 过 MySQL 这 个 数据 库 软件 来 存 取 的 呢 ! 
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o PHP (http:/www.php.net/) 


按照 官方 的 说 法 来 说 ，PHP 是 一 个 工具 ， 他 可 以 被 用 来 建立 动态 网 页 ， 
PHP 程序 


代码 可 以 直接 在 HTML 网 页 当中 嵌入 ， 就 像 你 在 编辑 HTML 网 页 一 样 
的 简单 。 

所 以 说 ， PHP 是 一 种 『 程 序 语言 | ， 这 种 程序 语言 可 以 直接 在 网 页 当 
中 编写 ， 不 


需要 经 过 编译 即 可 进行 程序 的 执行 。 由 于 具有 : 自由 软件 、 跨 平台 、 容 
易学 习 及 

















执行 效能 高 等 优 扣 ， ”目前 是 很 热门 的 一 个 设计 网 页 的 吃 噬 嘿 ! 你 可 以 
在 市 面 上 


找到 很 多 相关 的 书籍 来 参考 的 。 





Tips: 
事实 上 ， 如 果 光 学 会 Linux 与 染 站 ， 

对 你 自己 的 竞争 力 还 是 不 够 的 ， 

可 以 的 话 ， 多 学 一 些 MySQL 的 SQL 语法 ， 以 及 类 似 PHP, JSP 等 
跨 平台 的 网 页 程序 语言 ， 对 你 的 未 来 是 很 有 帮助 的 喔 ! 
20.1.4https: 加 密 的 网 页 数据 (SSL) 及 第 三 方 公正 单位 


关于 HTTP 这 个 传输 协议 当中 ， 你 必需 要 知道 的 是 : 『 这 个 传输 协议 传 
和 输 数据 是 以 


明码 传送 的 ] ， 所 以 你 的 任何 数据 封包 只 要 航 监 听 镭 取 的 话 ， 那 么 该 
数据 就 等 于 是 别 


人 的 啦 ! 那 想 一 想 ， ”你 有 过 上 线 刷 卡 的 经 验 吗 ? 上 线 刷卡 只 要 输入 你 
信用 卡 的 卡号 与 


相关 的 截止 日 期 后 ， 就 能 够 进行 交易 了 。 如 果 你 的 数据 在 Internet 上 面 
跑 时 是 明码 


的 情况 下 ， 真 要 命 ! 那 你 的 信用 卡 不 束 随 时 可 能 会 被 盗用 ? 


虽然 大 多 数 Internet 上 面 的 WWW 网 站 所 提供 的 资料 是 可 以 随意 浏览 
的 ， 不 过 如 

同上 面 提 到 的 ， ”一些 物流 交易 网 站 的 数据 以 及 关于 你 个 人 的 重要 机 密 
数据 当然 束 不 能 


这 样 随意 传送 啦 ! 这 个 时 候 就 有 需要 用 到 https://hostname 这 种 联机 的 
方式 啦 ! 这 








种 方式 是 透 过 SSL 加 密 的 机 制 喔 ! 


Secure Socket Layer (SSL) 





还 记得 我 们 在 
是 利用 非 


对 称 的 key pair (Public + Private kye) 来 组 成 密 钥 ， 然 后 透 过 公 钥 加 密 后 
传输 ， 传 


输 到 目标 主机 后 再 以 私 钥 来 解密 ， 如 此 一 来 数据 在 Internet 上 面 跑 就 以 
加 密 的 方式 ， 


想当然 尔 ， 这 些 数 据 自然 就 比较 安全 啦 ! SSL 就 是 利用 在 WWW 传输 
上 面 的 加 密 方式 之 


一 啦 ! 


当 浏 览 右 端 与 WWW 服务 喜 端 同时 文 持 SSL 的 传输 协议 时 ， 在 联机 阶 
段 浏 览 器 与 服 


务 器 就 会 产生 那 把 重要 的 密 铀 ! ”产生 密 钥 后 就 能 够 利用 浏览 吉 来 传送 
与 接收 加 密 过 的 


重要 数据 啦 ! 要 达成 这 样 的 机 制 ， 你 的 WWW 服务 右 必 需要 局 动 https 
这 个 重要 的 传 


输 协议 ， 而 浏览 器 则 必需 要 在 网 址 列 输入 https:/ 开头 的 网 址 ， 那 两 者 
才能 够 进行 沟 
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0 


通 与 联机 。 要 注意 的 是 ， 在 茶 些 很 旧 的 浏览 堪 上 面 是 不 文 持 SSL 的 ， 
所 以 在 那些 旧 的 





浏览 右上 就 无 法 达成 https 的 联机 啦 ! 


Certificate Authorities (CA) 


想 一 想 SSL 这 个 机 制 有 什么 问题 ? 他 的 问题 就 是 : 『 那 把 Public key 是 
服务 器 


产生 且 任 何人 都 能 取得 的 」! 这 是 什么 问题 ?因为 public key 可 让 任何 
人 取得 ， 奎 


被 钓鱼 i 个 很 类 似 你 网 络 银行 的 网 站 ， 并 且 骗 你 输入 
账 密 ， 要 命 了 ! 


因为 你 不 知道 该 网 站 是 诈骗 集团 制作 的 ， 以 为 https 就 是 安 全 的 ， 如 此 
一 来 ， 即 使 你 


的 数据 有 加 密 ， 但 结果 ， 在 钓鱼 网 站 服务 器 端 还 是 能 够 取得 你 输入 的 帐 
密 啊 ! 这 个 时 


候 就 需要 第 三 方 公 正 单位 来 帮忙 啦 ! 


所 谓 的 CA 就 是 一 个 公认 的 公正 单位 ， 你 可 以 自行 产生 一 把 密 钥 且 制 作 
出 必要 的 任 


证 数据 并 向 CA 单位 注册 ( 讲 到 注册 你 就 要 知道 ... 这 东西 是 要 钱 的 意 
思 二 性 慎 次 当 客 


户 问 的 浏览 右 在 浏览 时 ， 该 浏览 右 会 主动 的 同 CA 单位 确认 该 凭证 是 否 
为 合法 注册 过 的 ， 


如 果 是 的 话 ， 那 么 该 次 联机 才 会 建立 ， 如 果 不 是 呢 ? 那么 浏览 器 就 会 发 
出 警告 讯息 ， 告 


知 用 户 应 避免 建立 联机 啊 。 所 以 说 ， 如 此 一 来 WWW 服务 器 不 但 有 公 
正 单位 的 背书 ， 用 


户 在 建立 联机 时 也 比较 有 保障 ! 














更 多 关于 SSL 以 及 CA 的 介绍 ， 可 以 约略 参考 一 下 : 
Apache 的 SSL: http://www.modssl.org/ 

CA 组 织 之 一 : 
https://digitalid.verisign.com/server/apacheNotice.htm 
20.1.5 客户 站 常见 的 浏览 圳 


咱们 前 面谈 到 WWW 服务 器 是 Server/Client 的 架构 ， 而 客户 端 使 用 的 软 
件 就 是 浏 


览 嚣 啊 ! 目前 比较 知名 的 自由 软件 浏览 器 主要 有 两 蒜 ， 包 括 Mozilla 基 
金 会 管理 的 


firefox (火狐 狸 ) 以 及 Google 自行 推出 的 chrome。 至 于 市 占 率 较 高 的 还 


有 windows 
的 正 。 


ee 以 连结 到 因特网 上 ， 所 以 浏览 器 也 有 可 能 被 攻击 ! ”其 中 
由 于 I 


接 内 骨 至 Windows 的 核心 当中 ， 所 以 如 果 正 有 漏洞 时 ， 对 于 系统 的 损 
害 是 很 大 的 ! 因 


此 无 论 如 何 ， 请 记得 [务必 要 随时 更 新 到 最 新 版 本 的 浏览 器 」 才 行 。 建 
议 你 可 以 使 用 


firefox 或 chrome 这 些小 巧 玲珑 的 浏览 器 啊 ! 


除了 窗口 接口 的 浏览 器 软件 之 外 ， 其 实 还 有 几 个 可 以 在 文字 接口 底下 进 
行 浏览 与 网 


页 下 载 的 程序 ， 分 别 是 : 
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20.2 WWW (LAMP) 服务 器 基本 设 定 
从 前 面 的 说 明 当 中 ， 我 们 知道 在 ”Linux 上面 要 达成 网 页 服务 器 需要 


Apache 这 套 


服务 器 软件 响 ! 不 过 Apache 仅 能 提供 最 基本 的 静态 网 站 数据 而 已 ， 想 
要 达成 动态 网 站 


的 话 ， 那 么 最 好 还 是 需要 PHP 与 MySQL 的 支持 才 好 。 所 以 底下 我 们 将 
会 以 LAMP 作为 


安装 与 设 定 的 介绍 ， 加 油 吧 ! 和信 
20.2.1 LAMP 所 需 软 件 与 其 结构 


既然 我 们 已 经 是 Linux 操作 系统 ， 而 且 使 用 的 是 号 称 完 全 兼容 于 Red 
Hat 


Enterprise Linux 的 CentOS 版 本 ， 那 当然 只 要 利用 CentOS 本 号 提供 的 
Apache, 














PHP, MySQL 即 可 ! 不 建议 你 自行 利用 tarball 安装 你 的 LAMP 服务 器 。 
因为 自行 安装 


不 但 手续 肤 类 ， 而 且 也 不 见得 比 系统 默认 的 软件 稳定 。 除非 你 有 特殊 
的 需求 (例如 你 


的 茶 些 Apache 插件 需要 较 高 的 版 本 ， 或 者 是 PHP, MysQL 有 特殊 版 本 
的 需求 )， 否则 





请 使 用 yum 来 进行 软件 的 安装 即 可 。 


那么 我 们 的 LAMP 需要 哪些 东西 呢 ? 你 必需 要 知道 的 是 ，PHP 是 挂 在 
Apache 底下 


执行 的 一 个 模块 ， 而 我 们 要 用 网 页 的 PHP 程控 MySQL 时 ， 你 的 PHP 
就 得 要 文 持 


MySQL 的 模块 才 行 ! 所 以 你 至 少 需要 底下 几 个 软件 : 


httpd (提供 Apache 主 程序 ) 








mysql (MySQL 客户 端 程序 ) 

mysql-server (MySQL 服务 器 程序 ) 

php (PHP 主 程序 含 给 apache 使 用 的 模块 ) 

php-devel (PHP 的 发 展 工具 ， 这 个 与 PHP 外 挂 的 加 速 软件 有 关 ) 
php-mysql (提供 给 PHP 程序 读 取 MySQL 数据 库 的 模块 ) 


要 注意 ， Apache 目前 有 几 种 主要 版 本 ， 包 括 2.0.x, 2.2.X 以 及 2.3.x 等 


， 
等 ， 


至 于 CentOS 6.x 则 是 提供 Apache 2.2.x 这 个 版 本 啦 。 如 果 你 没有 安装 的 
话 ， 请 直接 


使 用 yum 或 者 是 原本 光盘 来 安装 先 : 


# 安装 必要 的 LAMP 软件 : php-devel 可 以 先 包 略 一 














[root@www ~]# yum install httpd mysql mysql-server php php-mysql 
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先 来 了 解 一 下 Apache 2.2.x 这 个 版 本 的 相关 结构 ， 这 样 才 能 够 知道 如 何 
处 理 我 们 的 网 





页 数据 啊 ! 
/etc/httpd/conf/httpd.conf (主要 配置 文件 ) 


httpd 最 主要 的 配置 文件 ， 其 实 整个 Apache 也 不 过 就 是 这 个 配置 文件 
啦 ! 里 面 


ei ! 不 过 很 多 其 他 的 distribution 都 将 这 个 档案 拆 成 数 个 小 
当 案 











分 别管 理 不 同 的 参数 。 但 是 主要 配置 文件 还 是 以 这 个 档 名 为 主 的 ! 你 
内 要 找到 


这 个 档 名 就 知道 如 何 设 定 啦 ! 
/etc/httpd/conf.d/*.conf (很 多 的 额外 参数 档 ， 扩 展 名 是 .conf) 


如 果 你 不 想 要 修改 原始 配置 文件 httpd.conf 的 话 ， 那 么 可 以 将 你 自己 的 
额外 参 


数 档 独 立 出 来 ， 例如 你 想 要 有 自己 的 额外 设 定 值 ， 可 以 将 他 写 入 
/etc/httpd/conf.d/vbird.conf (注意 ， 扩 展 名 一 定 是 .conf 才 行 ) 而 启动 


Apache 时， 这 个 档案 就 会 被 读 入 主要 配置 文件 当中 了 ! 这 有 什么 好 
处 ”好 处 吏 


你 几乎 不 需要 更 动 原本 的 配置 文件 ， 只 要 将 
尔 自己 包 


额外 参数 档 复 制 到 正确 的 地 点 即 可 ! 维护 更 方便 啦 ! 
/usr/lib64/httpd/modules/, /etc/httpd/modules/ 

Apache 支持 很 多 的 外 挂 模块 ， 例 如 php 以 及 ssl 都 是 apache 外 挂 的 一 种 

咀 ! 














所 有 你 想 要 使 用 的 模块 档案 默认 是 放置 在 这 个 目录 当中 的 ! 


/var/ www/html/ 
这 就 是 我 们 CentOS 默认 的 apache 『 首 页 上 所 在 目录 啦 ! 当 你 输入 


人 时 所 显示 的 数据 ， ”就 是 放 在 这 个 目录 当中 的 痛 页 文 
( 预 


设 为 index.html)。 





/Var/Wwww/error/ 


如 果 因 为 服务 需 设 定 错误 ， 或 者 是 浏览 句 问 要 求 的 数据 错误 时 ， 在 浏览 
器 上 出 现 


的 错误 讯 娠 就 以 这 个 目录 的 默认 讯 居 为 主 ! 
/Var/ www/icons/ 


这 个 目录 提供 Apache 默 闪 给 予 的 一 些小 图 未， 你 可 以 随意 使 用 呵 ! 当 
小 \ 从 入 


『http:/localhosUicons/」 时 所 显示 的 数据 所 在 。 
/var/www/cgi-bin/ 

默认 给 一 些 可 执行 的 CGI (网 页 程序 ) 程序 放置 的 目录 ; 当 你 输入 
『http:Vlocalhostcgi-bin/」 时 所 显示 的 数据 所 在 。 











/var/log/httpd/ 


预 设 的 Apache 登录 档 都 放 在 这 里 ， 对 于 流量 比较 大 的 网 站 来 说 ， 这 个 
目录 要 很 

小 心 ， ”因为 以 乌 哥 网 站 的 流量 来 说 ， 一 个 星期 的 登录 文件 数据 可 以 大 
到 


700MBytes 至 1GBytes 左右 ， 所 以 你 务必 要 修改 一 下 你 的 logrotate 让 登 
录 档 








被 压缩 ， 人 否则 .… 
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/usr/sbin/apachectl 


这 个 就 是 Apache 的 主要 执行 档 ， 这 个 执行 档 其 实 是 _shell script 而 已 ， 
他 


0 好 让 你 启动 ”Apache 时 更 简 
意 ! 


/usr/sbin/httpd 
呵呵 ! 这 个 才 是 主要 的 Apache 二 进 制 执行 文件 啦 ! 
/usr/bin/htpasswd (Apache 密码 保护 ) 


在 茶 些 网 页 当 你 想 要 登入 时 你 需要 输入 账号 与 密码 对 吧 ! 那 Apache 本 
喘 就 提供 


i 该 密码 的 产生 就 是 透 过 这 个 指令 来 达成 
1! 相 3 


的 设 定 方式 我 们 会 在 WWW 进 阶 设 定 当中 说 明 的 。 
至 于 MySQL 方面 ， 你 需要 知道 的 几 个 重要 目录 与 档案 有 : 





/etc/my.cnf 


这 个 是 MySQL 的 配置 文件 ， 包 括 你 想 要 进行 MySQL 数据 库 的 优化 ， 
或 者 是 针对 


MySQL 进行 一 些 额 外 的 参数 指定 ， 都 可 以 在 这 个 档案 里 面 达成 的 ! 
/var/lib/mysql/ 


这 个 目录 则 是 MySQL 数据 库 档 案 放 置 的 所 在 处 啦 ! 当 你 有 局 动 任何 
MySQL 的 服 


务 时 ， 请 务必 记得 在 备份 时 ， 目录 也 要 完整 的 备份 下 来 才 行 啊 ! 
另外 ,在 PHP 方面 呢 ， 你 应 该 也 要 知道 几 个 档案 喔 : 
/etc/httpd/conf.d/php.conf 


a httpd.conf 当中 ? 不 需要 的 ， 因 为 系统 主 
动 将 


PHP 设 定 参 数 写 入 这 个 档案 中 了 ! 而 这 个 档案 会 在 Apache 重新 启动 时 
被 读 入 ， 


所 以 OK 的 啦 ! 





/etc/php.ini 
就 是 PHP 的 主要 配置 文件 ， 包 括 你 的 PHP 能 不 能 允许 使 用 者 上 传 档 


案 ? 能 不 能 
允许 某 些 低 安全 性 的 标志 等 等 ， 都 在 这 个 配置 文件 当中 设 定 的 啦 ! 
/usr/lib64/httpd/modules/libphp5.so 


PHP 这 个 软件 提供 给 Apache 使 用 的 模块 ! 这 也 是 我 们 能 否 在 Apache 网 
页 上 面 











设计 PHP 程序 语言 的 最 重要 的 噬 吹 ! 务必 要 存在 才 行 ! 
/etc/php.d/mysql.ini, /usYVlib64/php/mmodules/mysql.so 


是 否 可 以 支持 MySQL 接口 呢 ? 就 看 这 两 个 东西 啦 ! 这 两 个 吹 
唉 是 


php-mysql 软件 提供 的 呢 ! 
/usr/bin/phpize, /usr/include/php/ 


如 果 你 未 来 想 要 安装 类 似 PHP 加 速 器 以 让 浏览 速度 加 快 的话 ， 那 么 这 
个 档 守 与 





目录 区 得 要 存在 ， 否则 加 速 需 软件 可 无 法 编译 成 功 喔 ! 这 两 个 数据 也 
是 


php-devel 软件 所 提供 的 啦 ! 
net.giang(@hotmail.com 
D 


S000 上 面 提 到 的 是 Red 
Hat 系 纪 


(RHEL, CentOS, FC) 所 需 的 数据 ， 如 果 是 SuSE 或 其 他 版 本 的 数据 ， 请 
依照 你 的 


distribution 管理 软件 的 指令 (rpm 或 dpkg) 去 查询 一 下 ， 应 该 束 能 够 知 
道 各 个 重 


要 数据 放置 在 哪里 啦 ! 这 些 数 据 很 重要 ， 你 必需 要 对 放置 的 地 点 有 点 概 
念 才 行 喔 ! 


20.2.2 Apache 的 基本 设 定 


在 开始 设 定 Apache 之 前 ， 你 要 知道 由 于 主机 名 对 于 WWW 是 有 意义 
的 ， 所 以 虽然 


利用 IP 也 能 架设 WWW 服务 器 ， 不 过 建议 你 还 是 申请 一 个 合 ;} 
名 比较 好 。 如 


果 是 暂时 测试 用 的 主机 所 以 没有 主机 名 时 ， 那 么 至 少 确 定 测 试用 主机 名 
为 localhost 


日 在 你 的 /etc/hosts 内 需要 有 一 行 : 








[root@www ~]# vim /etc/hosts 
127.0.0.1 localhost.localdomain localhost 


这 样 在 局 动 你 的 Apache 时 才 不 会 发 生 找 不 到 完整 主机 名 (FQDN) 的 错 


误 讯 恩 。 此 外 ， 


Apache 只 是 个 服务 器 平台 而 已 ， 你 还 需要 了 解 HTML 以 及 相关 的 网 页 
设计 语法 ， 如 此 
才能 丰富 你 的 网 站 。 对 于 想 要 设计 网 页 的 朋友 来 说 ， 应 用 软件 或 许 是 很 
好 入 | 不 过 


想 要 完整 的 了 解 网 站 设计 的 技巧 ， 还 是 研究 一 下 基础 的 HTML 或 CSS 
比较 妥当 。 


如 果 你 真 的 对 于 一 些 基 础 语法 有 兴趣 ， 并 且 也 想 要 开发 一 些 所 谓 的 『 无 


障碍 网 页 空 








间 」 的 话 ， 那 么 可 以 造访 一 下 _http://www.w3c.org 所 列举 的 标准 语法 ， 
或 者 是 行政 院 


的 无 障碍 网 页 空间 申请 规范 (http://www.webguide.nat.gov.tw) 相信 会 有 
所 收获 的 


中 ! 


终于 要 来 谈 一 谈 如 何 设 定 Apache 这 个 httpd.conf 配置 文件 了 ! 再 次 强 
调 ， 每 个 


distribution 的 这 个 档案 内 容 都 不 很 相同 ， 所 以 你 必需 要 上 自行 找 出 相关 的 
配置 文件 才 


行 喔 ! 那么 这 个 httpd.conf 的 设 定 为 何 呢 ? 他 的 基本 设 定格 式 是 这 样 
的 ; 


< 设 定 项 目 > 
此 设 定 项 目 内 的 相关 参数 


</ 设 定 项 目 > 


举例 来 说 ， 如 果 你 想 要 针对 我 们 的 首页 /Var/www/html/ 这 个 目录 提供 一 
些 额 外 的 功能 ， 


那么 : 
<Directory "/var/www/html"> 


Options Indexes 


</Directory> 


几乎 都 是 这 样 的 设 定 方式 喔 ! 特别 留意 的 是 ， 如 采 你 有 额外 的 设 定时 ， 
不 能 随便 在 


httpd.conf 里 头 找 地 方 写 入 ! 否则 如 果 刚 好 写 在 <Directory>... 
</Directory> 里 面 ， 


呼 呼 ! “那么 就 会 发 生 错误 啦 ! 需要 前 前 后 后 的 找 一 找 喔 ! 或 者 是 在 档 
案 的 最 后 面 加 入 


也 行 ! 好 吻 ， 底 下 咀 们 先 来 了 黎 一 聊 Apache 服务 器 的 基础 设 定 吧 ! 











Tips: 

事实 上 在 Apache 的 网 页 有 提供 很 多 详细 的 文件 资料 ， 真 的 是 很 详 
细 啦 ! 乌 哥 在 底下 仅 是 介绍 一 些 惯用 的 设 定 项 目的 意义 而 已 。 有 兴 
趣 的 话 ， 请 务必 要 前 往 查 阅 : 

















Apache 2.2 核心 文件 : 
http://httpd.apache.org/docs/2.2/mod/core.html 


针对 服务 器 环境 的 设 定 项 目 


Apache ”针对 服务 器 环境 的 设 定 项 目 方面 ， 包 括 啊 应 给 客户 端的 服务 器 
软件 版 本 、 











主机 名 、 服 务 堪 配置 文件 顶层 目录 等 。 底下 咱们 就 来 谈 一 谈 : 
[root@www ~]# vim /etc/httpd/conf/httpd.conf 
ServerTokens OS 


# 目 在 仅 告 知客 户 问 我 们 服务 器 的 版 本 与 操作 系统 而 已 ， 不 需要 
更 志 


他 。 

# 如 果 不 在 乎 你 系统 的 信息 被 远程 的 用 户 查 询 到 ， 
则 可 以 将 这 个 项 目 批注 掉 即 

可 (不 建议 ) 





ServerRoot "/etc/httpd" 


# 服务 器 设 定 的 最 项 层 目 录 ， 有 点 类 似 chroot 那 种 感觉 。 包 括 logs， 








modules 
# 等 等 的 数据 都 应 该 要 放置 到 此 目录 底下 ( 符 未 宣告 成 绝对 路 径 时 ) 
PidFile run/httpd.pid 


# 放置 PID 的 档案 ， 可 方便 Apache 软件 的 管理 啦 ! 只 有 相对 路 径 吧 ! 


# 考虑 ServerRoot 设 定 值 ， 所 以 档案 在 /etc/httpd/rum/httpd.pid ! 
Timeout 60 

# 不 论 接收 或 传送 ， 当 持续 联机 等 待 超过 60 秒 则 该 次 联机 就 中 断 。 
# 一 般 来 说 ， 此 数值 在 300 秒 左 右 即 可 ， 不 需要 修改 这 个 原始 值 啦 。 
KeepAlive On <== 最 好 将 预 设 的 Off 改 为 On 啦 ! 


# 是 否 人 允许 持续 性 的 联机 ， 亦 即 一 个 TCP 联机 可 以 具有 多 个 档案 资料 传 
送 的 
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# 举例 来 说 ， 如 果 你 的 网 页 内 含 很 多 图 档 ， 那 么 这 一 次 联机 束 会 将 所 有 
的 数据 


# 而 不 必 每 个 图 档 都 需要 进行 一 次 TCP 联机 。 预 设 为 Off 请 改 为 On 较 
佳 。 


MaxKeepAliveRequests 500 <== 可 以 将 原本 的 100 改 为 500 或 更 高 

# 与 上 个 设 定 值 KeepAlive 有 关 ， 当 KeepAlive 设 定 为 On 时 ， 则 这 个 数 
可 决定 

# 该 次 联机 能 够 传输 的 最 大 传输 数量 。 为 了 增进 效能 则 可 以 改 大 一 点 ! 
0 代表 


不 限制 。 


KeepAliveTimeout 15 


# 在 允许 KeepAlive 的 条 件 下 ， 则 该 次 联机 在 最 后 一 次 传输 后 等 竺 延迟 
的 秒 


数 。 
# 当 超 过 上 述 秒 数 则 该 联机 将 中 断 。 设 定 15 差不多 啦 ! 如 果 设 定 太 高 


(等 行 

时 间 较 长 )， 

# 在 较 忙 碌 的 系统 上 面 将 会 有 较 多 的 Apache 程序 占用 资源 ， 
可 能 有 效能 方面 

的 困扰 。 


<IfModule prefork.c> <== 底 下 两 个 perfork, worker 与 内 存 管理 有 关 ! 





StartServers 8 <== 启 动 httpd 时 ， 
唤醒 几 个 PID 来 处 理 服务 的 意 


轩 


MinSpareServers 5 <== 最 小 的 预备 使 用 的 PID 数量 
MaxSpareServers 20 <== 最 大 的 预备 使 用 的 PID 数量 

ServerLimit 256 <== 服 务 器 的 限制 

MaxClients 256 <== 最 多 可 以 容许 多 少 个 客户 器 同时 联机 到 httpd 
的 意思 ! 

MaxRequestsPerChild 4000 

</If{Module> 


<IfModule worker.c> 


StartServers 4 
MaxClients 300 
MinSpareThreads 25 
MaxSpareThreads 75 
ThreadsPerChild 25 
MaxRequestsPerChild 0 
</If{Module> 


上 面 的 prefork 及 worker 其 实 是 两 个 与 服务 器 联机 资源 有 关 的 设 定 项 
目 。 默 认 的 项 


目 对 于 一 般 小 型 网 站 来 说 已 经 很 够 用 了 ， ”不 过 如 果 你 的 网 站 流量 比较 
大 时 ， 或 许可 以 


修订 一 下 里 面 的 数值 呢 ! 这 两 个 模块 部 是 用 在 提供 使 用 者 联机 的 资源 


(process)， 设 定 


的 数量 越 大 代表 系统 会 月 动 比较 多 的 程序 来 提供 Apache 的 服务 ， 反 应 
速度 就 比较 快 。 


简单 的 说 ， 这 两 个 模块 的 功能 分 类 为 : 
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针对 模块 的 功能 分 类 来 说 : 


worker 模块 占用 的 内 存 较 小 ， 对 于 流量 较 大 的 网 站 来 说 ， 是 一 个 比较 好 
的 选择 。 


prefork ”虽然 占用 较 大 的 内 存 ， 不 过 速度 与 ”worker 差异 不 大 ， 并 且 
prefork 内 


存 使 用 设计 较为 优秀 ， 可 以 在 很 多 无 法 提供 debug 的 平 合 上 面 进行 目 我 








除 错 ， 
所 以 ， 默 认 的 模块 就 是 prefork 这 一 个 呢 ! 

细部 设 定 的 内 容 方面 : (以 Prefork 为 例 ， worker 意义 相同 ) 
o StartServers: 代表 启动 Apache 时 就 启动 的 process 数量 ， 所 以 
apache 会 用 到 不 止 一 支 程序 ! 
0 MinSpareServers, MaxSpareServers: 代表 最 大 与 最 小 的 备用 程序 数 
量 。 
o MaxClients: 最 大 的 同时 联机 数量 ， 也 就 是 process 不 会 超过 此 一 
数量 。 现 在 假设 有 10 个 人 连 上 来 ， 加 上 前 面 的 MinSpareServer=5， 
MaxSpareServers=20， 则 apache 此 时 的 程序 数 应 有 15-30 个 之 意 。 而 
这 个 最 终 程 序数 不 可 超过 256 个 ( 依 上 述 设 定 值 )! 
0 MaxRequestsPerChild: 每 个 程序 能 够 提供 的 最 大 传输 次 数 要 求 。 举 
例 来 说 ， 如 果 有 个 使 用 者 连 上 服务 器 后 (一 个 process)， 却 要 求 数 百 个 网 


页 ， 当 他 的 要 求 数量 超过 此 一 数 便 ， 则 该 程序 会 被 丢弃 ， 为 外 切换 一 


新 程序 。 这 个 设 定 可 以 有 效 的 控 管 每 个 process 在 系统 上 的 『 存 活 时 
间 」 。 


因为 根据 观察 所 得 ， 新 程序 的 效能 较 佳 啦 ! 


AR 
同 


说 明 ， 这 个 MaxClients 设 定 值 可 以 控制 [同时 连 上 WWW 服务 器 的 总 
联机 要 求 ] 数量 ， 








亦 即 想 成 最 高 实时 在 线 人 数 啦 。 不 过 你 要 注意 的 是 ，MaxClients 的 数量 
不 是 越 高 越 好 ， 


因为 他 会 消耗 物理 内 存 (与 process 有 关 嘱 )， 所 以 如 果 你 设 定 太 高 导致 
超出 物理 内 存 


能 够 容许 的 范围 ， 那 么 效能 反而 会 降低 。 (因为 系统 会 使 用 速度 较 慢 的 
swap 啊 )， 此 外 ， 


MaxClients 也 在 Apache 编译 时 就 指定 最 大 值 了 ， 所 以 你 也 无 法 超出 系 
统 最 大 值 ， 除 


非 … 你 重新 编译 Apache 啦 ! 


除非 你 的 网 站 流量 特别 大 ， 人 否则 默认 值 已 经 够 你 使 用 的 了 。 而 如 果 你 的 
内 存 不 够 大 


的 话 ， 那 么 MaxClients 反而 要 调 小 一 点 ， 例 如 150 ， 否 则 效能 不 佳 。 
那 ，apache 到 


底 是 使 用 那个 模块 啊 ? prefork 还 是 worker ? 事实 上 CentOS 将 这 两 个 模 
块 分 别 放 


到 不 同 的 执行 档 当 中 ， 分 别 是 : 
/usr/sbin/httpd: 使 用 prefork 模块 ，; 











/usr/sbin/httpd.worker: 使 用 worker 模块 。 


那 如 何 决 定 你 使 用 的 是 哪 一 支 程 序 ? 你 可 以 去 查阅 一 下 
/etc/sysconfig/httpd ， 





束 能 够 知道 系统 默认 提供 prefork 模块 ， 但 你 可 以 透 过 修改 
/etc/sysconfig/httpd 


来 使 用 worker 模块 的 。 如 果 你 很 有 好 奇 心 ， 那 么 可 以 分 别 试 着 启动 这 
两 种 模块 啊 ! 


接 下 来 ， 继 续 瞧 瞧 其 他 的 服务 器 环境 设 定 参数 吧 ! 





net.qiang(Ohotmail.com 
Listen 80 


# 与 监听 接口 有 关 ， 默 认 开 放 在 所 有 的 网 络 接口 啊 ! 也 可 修改 井口 ， 如 
8080 


LoadModule auth_basic module modulesmod _auth_basic.so 
…( 底 下 省 略 )..… 


1 人 。Apache 提供 很 多 有 用 的 模块 ( 束 是 外 挂 ) 给 我 
站 


1 

Include conf.d/*.conf 

# 因为 这 一 行 ， 所 以 放置 到 /etc/httpd/conf.d/*.conf 的 设 定 都 会 被 读 入 ! 
User apache 

Group apache 

# 前 面 提 到 的 prework, worker 等 模块 所 启动 的 process 之 拥有 者 与 群 组 
设 定 。 

# 这 个 设 定 很 重要 ， 

因为 未 来 你 提供 的 网 页 档案 能 不 能 被 浏览 都 与 这 个 身份 有 

关 啊 ! 

ServerAdmin vbird@www.centos.vbird <== 改 成 你 自己 的 email 吧 


# 系统 管理 员 的 email， 当 网 站 出 现 问题 时 ， 错 误 讯 县 会 显示 的 联络 信 





误 回 报 )。 


ServerName www.centos.vbird <== 自 行 设 定好 自己 的 主机 名 较 佳 ! 





# 设 定 主机 名 ， 

这 个 值 如 果 没 有 指定 的 话 ， 

预 设 会 以 hostname 的 输出 为 依据 。 

# 干 万 记得 ， 你 填 入 的 这 个 主机 名 要 找 的 到 耳 嘱 ! (DNS 或 /etc/hosts) 
UseCanonicalName Off 


# ”是 否 使 用 标准 主机 名 ?如果 你 的 主机 有 多 个 主机 名 ， 夺 这 个 设 定 为 
On， 


# 那么 Apache 只 接受 上 头 servername 指定 的 主机 名 联机 而 已 。 请 使 用 
Off。 


在 某 些 特殊 的 服务 器 环境 中 ， 有 时 候 你 会 想 要 启动 多 个 不 同 的 
Apache， 或 者 是 port 80 


已 经 被 使 用 掉 了 ， 导 致 Apache 无 法 启动 在 预 设 的 埋 口 。 那 么 你 可 以 透 
过 Listen 这 个 


设 定 值 来 修改 井口 喔 ! 这 也 是 个 很 重要 的 设 定 值 。 此 外 ， 你 也 可 以 将 
目 己 的 额外 设 定 


指定 到 /etchttpd/conf.d/*.conf 内 ， 尤 其 是 虚拟 主机 很 常 使 用 这 样 的 设 
定 ， 在 移 机 


时 会 很 方便 的 ! 

















针对 中 文 big5 语系 编码 的 设 定 参数 修改 


dt (UTF-8) 为 主 ， 不 过 在 台湾 还 
是 有 相当 


多 的 网 站 使 用 的 是 Big5 的 繁体 中 文 编码 啊 ! 如 果 你 的 Apache 默认 是 以 
UTF-8 编码 
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来 传输 数据 ， 但 你 WWW 的 数据 却 是 big5 ， 那么 客户 器 将 会 看 到 『 乱 
码 」! 虽然 可 以 


透 过 调整 浏览 器 的 编码 来 让 数据 正确 显示 ， 不 过 总 是 觉得 很 讨 大 。 此 
时 ， 你 应 该 可 以 


调整 一 下 后 下 的 参数 喔 ! 














[root@www ~]# vim /etc/httpd/conf/httpd.conf 





# 找到 底下 这 一 行 ， 应 该 是 在 747 行 左 右 
# AddDefaultCharset UTF-8 <== 请 将 她 批注 掉 ! 


这 个 设 定 值 的 意义 是 说 ， 让 服务 器 传输 『 强 制 使 用 UTF-8 编码 」 的 讯 
恩 给 客户 站 浏 览 
器 ， 因 此 不 论 网 页 内 容 写 什 么 ，“ 反正 在 客户 端 浏览 右 都 会 默认 使 用 万 
国 马 来 显示 的 意 


思 。 那 如 果 你 的 网 页 使 用 的 是 非 万 国 码 的 语系 编码 ， “此 时 就 会 在 浏览 
器 内 出 现 乱码 了 ! 


非常 讨厌 ~~ 所 以 这 里 当然 需要 批注 挥 。 ”你 必须 要 注意 的 是 ， 如 果 你 已 
经 在 客户 端 上 面 
浏览 过 许多 页 面 ， 那 么 你 修改 过 这 个 设 定 值 后 ， 仍 然 要 将 浏览 器 的 快 取 


(cache) 清除 


才 行 ! 否则 相同 页 面 仍 可 能 会 看 到 乱码 ! 网 友 们 已 经 回报 过 很 多 次 了 ， 
这 不 是 Apache 














的 问题 ， 而 是 客户 端 浏览 器 的 快 取 所 产生 的 啦 ! 记得 处 理 处 理 ! 


语系 编码 已 经 取消 默认 值 ， 那 我 怎么 知道 我 的 网 页 语系 在 客户 端 会 显示 
的 是 哪 一 个 ? 


其 实在 网 页 里 面 本 来 就 有 宣告 了 : 

<html> 

<head> 

<meta http-equiv="Content-Type" content="text/html; 
charset=big5" > 

…( 其 他 省 略 )..… 


bs 述 的 特殊 字体 处 ， 而 不 是 透 过 Apache 提供 预 设 语 
系 才 对 ! 











网 页 首页 及 目录 相关 之 权限 设 定 (DocumentRoot 与 Directory) 





我 们 不 是 讲 过 CentOS 的 WWW 预 设 首页 放置 在 /Var/www/html 这 个 目 
录 吗 ? 为 


什么 昵 ? 因为 DocumentRoot 这 个 设 定 值 的 关系 啦 ! 此 外 ， 由 于 Apache 
允许 Internet 


对 我 们 的 数据 进行 浏览 ， ”所 以 你 当然 必须 要 针对 可 被 浏览 的 目录 进行 
权限 的 相关 设 定 ， 


那 就 是 <Directory> 这 个 设 定 值 的 重要 特色 ! 先 让 我 们 来 看 看 预 设 的 主 
网 页 设 定 吧 ! 


[root@www ~]# vim /etc/httpd/conf/httpd.conf 








DocumentRoot "Vvar/www/html" <== 可 以 改 成 你 放置 首页 的 目录 ! 


， WWW 服务 器 主 网 页 所 放置 的 『 目 录 」， 虽 然 设 定 
容 


可 以 变更 ， 


# 但 是 必须 要 特别 留意 这 个 设 定 目录 的 权限 以 及 SELinux 的 相关 规则 与 
类 型 


(type) ! 
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<Directory /> 

Options FollowSymLinks 
AllowOverride None 


</Directory> 


NY WWW 服务 器 的 『 预 设 环 境 」 而 来 的 ， 因 为 针对 
川 的 设 


定 嘛 ! 


0 (上 头 数据 已 经 是 很 严格 的 限制 )， 相 关 参 数 容 
口上 上 


明 。 
<Directory "/Var/www/html"> <== 针 对 特定 目录 的 限制 ! 底下 参数 
很 重要 ! 


Options Indexes FollowSymLinks <== 建 议 拿 掉 Indexes 比较 妥当 ! 





AllowOverride None 


Order allow,deny 


Allow from all 
</Directory> 


这 个 地 方 则 是 针对 /varvwww/html 这 个 目录 来 设 定 权 限 啦 ! 就 是 中 们 首 
页 所 在 目录 的 


权限 。 主要 的 几 个 设 定 项 目的 意义 是 这 样 的 (这 些 设 定 值 都 很 重要 ! 要 
仔细 看 喔 ! ): 


Options (目录 参数 ): 


此 设 定 值 表示 在 这 个 目录 内 能 够 让 Apache 进行 的 动作 ， 亦 即 是 针对 
apache 的 


程序 的 权限 设 定 啦 ! 主要 的 参数 值 有 : 











0 Indexes: 
如 果 在 此 目录 下 找 不 到 『 首 页 档案 ( 预 设 为 index.htm]) ] 
时 ， 就 显示 整个 目录 下 的 文件 名 ， 至 于 『 首 页 档案 档 名 」 则 与 


DirectoryIndex 设 定 值 有 关 。 





0 FollowSymLinks: 这 是 Follow Symbolic Links 的 缩写 ， 字面 意义 


是 让 连结 档 可 以 生效 的 意思 。 我 们 知道 首页 目录 在 ”avwwwhtm1， 妖 


是 WWW 的 根 目 录 ， 理 论 上 就 像 被 chroot 一 般 ! 一 般 来 说 被 chroot 的 


程序 将 无 法 离开 其 目录 ， 也 区 是 说 默认 的 情况 下 ， 你 在 “Marwwwmhtml 
底 


下 的 连结 档 只 要 链接 到 非 此 目录 的 其 他 地 方 ， 则 该 连结 档 预 设 是 失效 
的 。 


但 使 用 此 设 定 即 可 让 连结 档 有 效 的 离开 本 目录 。 





oO ExecCGI: 
让 此 目录 具有 执行 CGI 程序 的 权限 ， 非 常 重要 ! 举例 来 说 ， 
之 前 热门 的 OpenWebMail 使 用 了 很 多 的 perl 的 程序 ， 你 要 让 


OpenWebMail 可 以 执行 ， 就 得 要 在 该 程序 所 在 目录 拥有 ExecCGI 的 权 
限 





才 行 喔 ! 但 请 注意 ， 不 要 让 所 有 目录 均 可 使 用 ExecCGI ! 

o Includes: 让 一 些 Server-Side Include 程序 可 以 运作 。 建 议 可 以 
JE! 
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o MultiViews: 这 玩意 儿 有 点 像 是 多 国语 言 的 支持 ， 与 语系 数据 
(LanguagePriority) 有 关 。 最 常见 在 错误 讯息 的 回报 内 容 ， 在 同一 部 主 
OE 默认 在 错误 





报 讯息 当中 存在 ， 你 可 以 检查 一 下 /Var/www/error/ 目录 下 的 数据 喔 ! 
AllowOverride (人 允许 的 履 写 参数 功能 ): 

表示 是 否 允 许 额外 配置 文件 .htaccess 的 某 些 参数 覆 写 ? 我 们 可 以 在 

httpd.conf ”内 设 定好 所 有 的 权限 ， 不 过 如 此 一 来 若 使 用 者 自己 的 个 人 网 


页 想 要 





nt 因此 Apache 默认 可 以 让 用 户 以 目 
录 改 下 


的 .htaccess 档案 内 窗 写 <Directory> 内 的 某 些 功能 参数 。 这 个 项 目 则 是 
在 


规定 .htaccess 可 以 履 写 的 权限 类 型 有 哪些 。 常 见 的 有 : 
0 ALL: 全 部 的 权限 均 可 被 履 写 ; 
o AuthConfig: 仅 有 网 页 认证 (账号 密码 ) 可 禾 写 ; 
o Indexes: 仅 允 许 Indexes 方面 的 履 写 ; 
o Limits: 允许 使 用 者 利用 Allow, Deny 与 Order 管理 可 浏览 的 权限 ; 
o None: 不 可 履 写 ， 亦 即 让 .htaccess 档案 失效 ! 
这 部 份 我 们 在 进 阶 设 定时 会 再 讲 到 的 ! 
Order Allow, Deny (能 否 登入 浏览 的 权限 ): 


决定 此 目录 是 否 可 被 apache 的 PID 所 浏览 的 权限 设 定 啦 ! 能 否 被 浏览 
主要 和 有 


两 种 判定 的 方式 : 

o deny,allow: 以 deny 优先 处 理 ， 但 没有 写 入 规则 的 则 默认 为 allow 
喔 。 

oallow,deny: 以 allow 为 优先 处 理 ， 但 没有 写 入 规则 的 则 默认 为 
deny 喔 。 


所 以 在 预 设 的 环境 中 ， 因 为 是 allow,deny 所 以 预 设 为 deny (不 可 浏览 )， 
不 过 


在 下 一 行 有 个 Allow from all，allow 优先 处 理 ， 因 此 全 部 (all) 客户 端 皆 
可 


浏览 啦 ! 这 部 份 我 们 会 在 20.3.4 1 


除了 这 些 数据 之 外 ， 跟 网 站 数据 相关 性 高 的 还 有 展 下 的 几 个 咯 吹 : 


























[root@www ~]# vim /etc/httpd/conf/httpd.conf 
DirectoryIndex index.html index.html.var <== 首 页 [档案 的 档 名 」 设 定 ! 
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如 果 客 户 端 在 网 址 列 只 输入 到 目录 ， 例 如 http:/localhost/ 时， 那么 


Apache 将 拿 


出 那个 档案 来 显示 呢 ? 就 是 拿 出 首页 档案 嘛 ! 这 个 档案 的 档 名 在 
Apache 当中 预 设 是 


以 index.* 为 开头 的 ， 但 Windows 则 以 default.* 之 类 的 档 名 为 开头 的 。 
如 有 果 你 想 


要 让 类 似 index.pl 或 index.cgi 也 可 以 是 首页 的 档 名 ， 那 可 以 改 成 : 
DirectoryIndex index.html index.htm index.cgi index.pl .… 


那 如 果 上 面 的 档 名 通通 存在 的 话 ， 那 该 怎 办 ? 就 按照 顺序 啊 ! 接 在 


DirectoryIndex 


后 面 的 档 名 参数 ， 越 前 面 的 越 优先 读 取 。 “ 那 如 果 档 名 通通 不 存在 呢 ? 
就 是 说 没有 首页 


时 ， 访 如何 读 取 ? 这 就 与 刚刚 谈 到 的 Options 里 面 的 Indexes 有 关 喔 ! 
这 样 有 没有 


将 两 个 参数 串 起 来 ? 

[root@ www ~]# vim /etc/httpd/cont/httpd.conf 

# Alias 网 址 列 延 伸 实际 Linux 目录 

Alias /icons/ "/Var/www/icons/" <== 制 作 一 个 目录 别名 (相当 类 似 快捷 方 
| 





<Directory "/Var/ www/icons"> 


Options Indexes MultiViews 

AllowOverride None 

Order allow,deny 

Allow from all 

</Directory> 

这 个 Alias 很 有 趣 的 ! 是 制作 出 类 似 连结 档 的 东西 啦 ! 当 你 输入 


http://localhost/icons 时 ， 其 实 你 的 /varvwww/html 并 没有 icons 那个 日 
录 ， 不 


过 由 于 Alias (别名 ) 的 关系 ， 会 让 该 网 址 直接 连结 到 /var/www/icons/ 
下 s 这 里 面 


预 设 有 很 多 Apache 提供 的 小 图 示 喔 ! 而 因为 设 定 了 一 个 新 的 可 浏览 
录 ， 上 所 以 你 瞧 ， 


多 了 个 <Directory> 来 规定 权限 了 吧 ! 和信 





[root@www ~]# vim /etc/httpd/conf/httpd.conf 
# ScriptAlias 网 址 列 延伸 实际 Linux 目录 
ScriptAjlias /cgi-bin/ "/var/www/cgi-bin/" 
<Directory "/var/www/cgi-bin"> 
AllowOverride None 

Options None 

Order allow,deny 


Allow from all 


</Directory> 


与 上 面 的 icons 类 似 ， 不 过 这 边 却 是 以 ScriptAlias (可 执行 脚本 的 别名 ) 
为 设 定 值 ! 


这 个 设 定 值 可 以 指定 该 目录 底下 为 [具有 ExecCGI 」 能 力 的 目录 所 在 
嘿 ! 所 以 你 可 以 


将 类 似 Open webmail 的 程序 给 他 放置 到 /var/www/cgi-bin 内 ， 束 不 必 额 
外 设 定 其 他 
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的 目录 来 放置 你 的 CGI 程序 喔 ! 这 样 大 概 就 OK 了 啦 ! 接 下 来 准备 一 
下 看 看 还 有 哪些 


额外 的 配置 文件 需要 处 理 的 呢 ? 
20.2.3 PHP 的 预 设 参数 修改 


> PHP 是 Apache 当中 的 一 个 模块 ， 那 在 谈 了 Apache 
8 





httpd.conf 之 后 ，『 我 们 怎么 没有 讲 到 PHP 这 个 模块 的 设 定 啊 ? 」 不 是 
不 讲 啦 ! 而 是 


因为 目前 Apache 很 聪明 的 将 一 些 重要 模块 给 他 拆 出 来 放置 到 


/etc/httpd/conf.d/*.conf 档案 中 了 ， 所 以 我 们 必须 要 到 该 目录 下 才能 了 解 
到 某 些 模 


块 是 否 有 被 加 入 啊 ! 底下 先 来 瞧 瞧 吧 ! 
[root@www ~]# cd /etc/httpd/conf.d 


[root@www conf.d]# 1 *.conf 


-rW-r--r--. 1 root root 674 Jun 25 15:30 php.conf <== 提 供 PHP 模 
块 的 设 定 

-rW-r--r--. 1 root root 299 May 21 2009 welcome.conf <== 提 供 默认 的 
首页 欢迎 讯 上 县 

# 如 果 你 是 按照 刚刚 乌 哥 说 的 几 个 模块 去 安装 的 ， 

那么 这 个 目录 下 至 少 会 有 这 

两 个 数据 ， 


# 一 个 是 规范 PHP 设 定 ， 一 个 则 是 规范 『 如 末 首 页 不 存在 时 的 欢迎 画 





我 们 主要 来 看 看 关于 PHP 的 配置 文件 吧 : 

[root@www conf.d]# vim /etc/httpd/conf.d/php.conf 

<IfModule prefork.c> <== 根 据 不 同 的 PID 模式 给 予 不 同 的 PHP 运作 模块 
LoadModule php5_module modules/libphp5.so 

</If{Module> 

<IfModule worker.c> 

LoadModule php5_module modules/libphp5-zts.so 


</IModule> 





AddHandler php5-script .php <== 所 以 扩展 名 一 定 要 是 .php 结尾 ! 
AddType text/html .php <==.php 结尾 的 档案 是 纯 文 本 档 
DirectoryIndex index.php <== 首 页 档 名 增加 index.php 喔 ! 


#AddType application/x-httpd-php-source .phps <== 特 殊 的 用 法 ! 


CentOS 6.x 使 用 的 是 PHP 5.x 版 本 ， 这 个 版 本 依据 不 同 的 apache 使 用 内 
存 模式 


(prefork 或 worker) 给 予 不 同 的 模块 ! 此 外 ， 为 了 规范 PHP 档案 ， 因 此 
多 了 最 后 三 


行 ， 包 括 增加 扩展 名 为 .php 的 档案 处 理 方式 ， .php 定义 为 纯 文 本 档 ， 
以 及 首页 档 名 


增加 index.php 等 。 基 本 上 ， 这 个 档案 你 不 需要 有 任何 的 修改 ， 保 留 原 
样 即 可 。 
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PHP 的 资 安 方面 设 定 


你 必须 要 知道 PHP 的 配置 文件 其 实 是 在 /etc/php.ini ， 这 个 档案 内 容 有 
某 些 地 


方 可 以 进行 一 些小 修改 ， “也 有 茶 些 地 方 你 必须 要 特别 留意 ， 免 得 航 客 
户 端 误 用 你 的 PHP 


资源 。 抵 下 先 介绍 一 下 PHP 管见 的 与 资 安 方面 较 相 关 的 设 定 : 





[root@www ~]# vim /etc/php.ini 

register_globals = Off 

# 这 个 项 目 请 确定 为 Of ( 预 设 就 是 Off)， 因 为 如 末 设 定 为 On 时 ， 
# 虽然 程序 执行 比较 不 容易 出 状况 ， 但 是 很 容易 不 小 心 就 被 攻击 。 





log_errors = On 
ignore_repeated_errors = On <== 这 个 设 定 值 调整 一 下 ( 因 预 设 为 Off) 


ignore_repeated_source = On <== 这 个 设 定 值 调整 一 下 


# 这 三 个 设 定 项 目 可 以 决定 是 否 要 将 PHP 程序 的 错误 记录 起 来 ， 
# 建议 将 重复 的 错误 数据 忽略 反 ， 否 则 在 很 忙碌 的 系统 上 ， 
# 这 些 错 误 数 据 将 可 能 造成 你 的 登录 档 骏 增 ， 导 致 效能 不 佳 (或 当 机 ) 








display_errors = Off 

display_startup_errors = Off 

# 当 你 的 程序 及 生 问 题 时 ， 

是 售 要 在 浏览 器 上 头 显示 相关 的 错误 讯 县 (包括 部 
分 程序 代码 ) 


强风 的 建议 设 定 为 Off 。 不 过 如 果 是 尚未 开放 的 WWW 服务 器 ， 为 了 
尔 ‘ 





debug 


# 容易 ， 可 以 暂时 的 将 他 设 定 为 On ， 如 此 一 来 你 的 程序 问题 会 在 浏览 
右上 面 





# 直接 显示 出 来 ， 你 不 需要 进入 /var/log/httpd/error_log 登录 当中 查阅 。 
# 但 程序 完成 后 ， 记 得 将 此 设 定 值 改 为 O 任 喔 ! 重要 重要 ! 


如 果 你 想 要 提供 Apache 的 说 明文 件 给 自己 的 WWW 服务 器 的 话 ， 可 以 
安装 一 下 


httpd-manual 这 个 软件 ， 你 就 会 发 现在 这 个 目录 当中 叉 会 新 增 档案 
(manual.conf), 


而 且 从 此 你 可 以 使 用 http:WlocalhosVymanual 来 登入 Apache 的 使 用 手册 
呢 ! 真 方 


便 ! 有 兴趣 的 话 可 以 参考 与 安装 确 下 这 些 软件 喔 : 





httpd-manual: 提供 Apache 参考 文件 的 一 个 软件 ; 
mrtg: 利用 类 似 绘图 软件 自动 产生 主机 流量 图 表 的 软件 ; 


mod_perl: 让 你 的 WWW 服务 器 文 持 ”perl 写 的 网 页 程序 (例如 
webmail 程 


序 ); 
mod_python: 让 你 的 WWW 服务 器 支持 python 写 的 网 页 程序 。 


mod_ssl: 让 你 的 WWW 可 以 支持 https 这 种 加 密 过 后 的 传输 模式 。 
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0 


perl 与 python 是 与 PHP 类 似 的 略 吃 ， 都 是 一 些 很 背 用 在 网 页 的 程序 语 
言 ! 例 


如 知名 的 OpenWebMail (http://openwebmail.org/) 就 是 利用 perl 写成 的 。 


要 让 你 


的 WWW 文 持 该 程序 语言 ， 你 就 得 要 安装 这 些 东 西 啦 ! (但 不 是 所 有 的 
软件 部 安装 ! 请 


安装 你 需要 的 即 可 ! ) 











PHP 提供 的 上 传 容量 限制 


我 们 未 来 可 能 会 使 用 PHP 写成 的 软件 来 提供 用 户 上 传 /下 载 文 件数 据 ， 
那么 PHP 


有 没有 限制 档案 容量 呢 ? ”答案 是 有 的 ! 那么 容量 限制 是 多 大 ? 预 设 是 
2M 左右 。 你 可 


以 修改 它 的 ， 假 设 我 们 现在 要 限制 成 为 16MBytes 时 ， 我 们 可 以 这 样 修 





订 : 

[root@www ~]# vim /etc/php.ini 

post_max_size = 20M <== 大 约 在 729 行 左 右 
file_uploads = On <== 一 定 要 是 On 才 行 (默认 值 ) 
upload_max _filesize = 16M <== 大 约 在 878 行 左右 
memory_limit = 128M <==PHP 可 用 内 存 容 量 也 能 修订 ! 


与 档案 上 传 /下 载 容 量 较 相 关 的 就 是 这 几 个 设 定 值 一 为 喻 ”post_max_size 


要 比 


upload_max filesize 大 呢 ? 因为 档案 有 可 能 也 是 透 过 POST 的 方式 传输 
到 我 们 服务 


器 上 头 ， 此 时 你 的 档案 就 得 要 加 入 POST 信息 内 一 因为 POST 信息 可 能 
还 含有 其 它 的 


额外 信息 ， 所 以 当然 要 比 档案 容量 大 才 行 ! 所 以 在 设计 这 个 配置 文件 
时 ， 这 两 个 值得 


要 特别 注意 喔 ! 
20.2.4 启动 WWW 服务 与 测试 PHP 模块 


OK! 最 单纯 简易 的 WWW 服务 器 设 定 捅 定 的 兰 不 多 了 ， 接 下 来 就 是 要 
局 动 啦 ! 局 动 


的 方法 简单 到 不 行 ， 用 传统 的 方式 来 处 理 : 


[root@www ~]# /etc/init.d/httpd start <== 立 刻 启 动 啦 ! 











[root@www ~]# /etc/init.d/httpd configtest <== 测 试 配置 文件 语法 


[root@www ~]# chkconfig httpd on <== 开 机 启动 WWW 啦 ! 


另外 ， 其 实 Apache 也 自行 提供 一 支 script 可 以 让 我 们 来 简单 的 使 用 ， 
那 束 是 


apachectl 这 文 程序 啦 ! 这 文 程序 的 用 法 与 /etc/init.d/httpd 几乎 完全 一 模 
一 样 喔 ! 


[root@www ~]# /usr/sbin/apachectl start <== 启 动 啦 ! 
[root@www ~]# /usr/sbin/apachect] stop <== 关 闭 WWW 路 ! 
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一 般 建议 你 可 以 稍微 记 一 下 apachectl 这 支 程 序 ， 因 为 很 多 认证 考试 会 
考 ， 而 且 他 也 


。 Apache 了 预 设 提供 的 一 个 管理 指令 说 ! 好 了 ， 来 看 看 有 没有 局 动 成 
DD? 


# 先 看 看 port 有 没有 局 动 啊 ! 











[root@www ~]# netstat -tulnp | grep 'httpd' 

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program 
name 

tcp 0 0 :::80 :::* LISTEN 2493/httpd 


# 再 来 看 看 登录 文件 的 信息 记录 了 什么 ! 这 个 确实 建议 瞧 一 瞧 ! 





[root@www ~ 1# tail /var/log/httpd/error_log 


[notice] SELinux policy enabled; httpd running as context 
unconfined_u:system _r:httpd_t:s0 


[notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec) 


[notice] Digest: generating secret for digest authentication ... 


[notice] Digest: done 


[notice] Apache/2.2.15 (Unix) DAV/2 PHP/5.3.2 configured -- resuming 
normal operations 


第 一 行 在 告知 有 使 用 。” SELinux( 强 调 一 下 )， 最 后 一 行 代表 正常 局 动 
! 


这 样 应 该 就 成 功 启 动 了 Apache 哎 $! 比较 重要 的 是 还 有 启动 SELinux 的 
相关 说 明 ， 这 


底下 我 们 还 得 要 注意 注意 呢 ! ” 接 下 来 测试 看 看 能 不 能 看 到 网 页 昵 ? 首 
先 看 看 


/Var/www/html 有 没有 数据 ? 号? 没有 一 没关系 ， 因 为 CentOS 帮 有 我 们 造 
了 二 个 测试 页 


了 (Apache 的 welcome 模块 功能 )， 所 以 你 还 是 在 浏览 右上 面 输入 你 这 
部 主机 的 IP 


看 看 先 : 
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3) Apache HTTP Server Test Page powered by CentOS - Mozilla Firetox 





档案 四 ”篇 辑 E) 检视 0D” 服 史 他 者 敌 四 ) 工具 四， 说 明 四 
[rw | < 一 一 1 -cl 
Apache 2 Test Page 
powered by CentOsS 


This page is used to test the proper operation of the Apache HTTP 
server after it has been installed. fyou can read this page it means 
that the Apache HTTP server installed at this site is working 
properly 


fyou areamember ofthe If you are the website ps 
general Public: administrator: 


You may now add content to the 
directory varywwwihtol Note 
图 20.2-1、 启 动 Apache 之 后 ， 所 看 到 的 预 设 首页 


你 可 以 在 服务 右上 面 启 动 图 形 接口 来 查 讽 ， 也 可 以 透 过 客户 端 计 算 机 来 
联机 (假设 

防火 墙 问 题 已 经 克服 了 )。 鸟 哥 这 里 假设 服务 器 为 runlevel 3 的 纯 文 本 接 
口 ， 因 此 使 


用 外 部 的 客户 站 计算 机 联机 到 服务 器 的 卫 上 ， 如 上 图 画面 中 的 箭头 1 
处 。 如 果 你 是 


在 服务 器 本 机 上 面 局 动 的 浏览 器 ， 那 直接 输入 『 ”http://localhost 上 即 
可 。 同 时 看 到 


画面 中 的 稍 头 2 所 指 处 ， 你 就 可 以 及 现 首 页 的 位 置 是 在 /var/www/html/ 
底下 哆 ! 但 


如 果 想 要 知道 有 没有 成 功 的 驱动 PHP 模块 ， 那 你 最 好 先 到 
/Var/www/html 目录 下 去 建 







The fact that you are seeing 
this page indicates that the 








一 个 简单 的 档案 : 
[root@www ~]# vim /var/ www/html/phpinfo.php 
<?php phpinfo (); ?> 


i 
， 填 


「 <?php … ?> 」 是 嵌入 在 HTML 档案 内 的 PHP 程序 语法 ， 在 这 两 个 标 
签 内 的 就 是 


PHP 的 程序 代码 。 那 么 phpinfo0; 就 是 PHP 程序 提供 的 一 个 函 式 库 ， 这 
个 函 式 库 可 


以 显示 出 你 WWW 服务 器 内 的 相关 服务 信息 ， 包括 主 要 的 Apache 信息 


与 PHP 信息 等 


等 。 这 个 档案 建 置 完毕 后 ， 接 下 来 你 可 以 利用 浏览 需 去 浏览 一 下 这 个 档 


不 : 
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Dphpinfo0 - Mozilla Firefox 


i -build=x86_64-unknown-linux gnuy’' -host=x86_64-unknown-linux-gnu' 
-target=x86_64-redhat-linux-gnu' -prograrm-prefix=" -preflx=/usr' -exec-prefix=/Usr' 
--bindir=ijusribin' ~--sbindir=jusrisbin' ~-sysconfdir=ietc' ~--datadir=/usrishare' 
--includedir=iusriinclude’ --libdir=iusmib64" --libexecdir=/usrilibexec’ -localstatedir=jyar 
-sharedstatedir=/yanlib' -mandir=iusrishareiman’ -infodir=/ustishare/info' --cache- 
fille=. /config.cache' -with-libdir=lib64" -with-config-file-path=/ete' -with-config-file-scan- 
dir=/etc/php,d' --disable-debug' ~-with-pic' -disable-rpath -without-pear ~-with-bz2" ~-with- 
exec-dir=/usribin’ ~-with-freetype-ditr=jusr -with-png-dir=jusr’ ~-with-xpm-dir=/usr' --enable- 

» 





图 20.2-2、 测 试 Apache 能 否 驱 动 PHP 模块 


注意 看 网 址 的 部 分 喔 ! 因为 我 们 phpinfo.php 是 放置 在 首页 目录 底下 ， 
因此 整个 


URL 当然 就 成 为 上 述 箭头 1 当中 的 模样 了 。 这 个 phpinfo0 函数 输出 的 
内 容 还 挺 机 


密 的 ， 所 以 测试 完毕 后 请 将 这 个 档案 删除 吧 ! 从 上 头 的 画面 你 可 以 知道 
PHP 模块 的 版 


本 以 及 Apache 相关 的 重要 数据 啦 ! 自己 仔细 瞧 瞧 吧 ! 如 此 一 来 ， 你 的 
Apache 与 PHP 


就 OK 的 啦 ! 
那 万 一 测试 失败 怎么 办 ? 币 见 的 错误 问题 以 及 解雇 之 道 可 以 参考 : 


， 网络 问题 ， 昌 然 在 本 机 上 没有 问题 ， 但 不 代表 网 络 一定 是 通 的 ! 请 
确认 一 


下 网 络 状 态 ! 例如 Route table, 拨 接 情况 等 等 ; 


吾 法 错误 : 这 个 问题 很 常 发 生 ， 因 为 设 定 错误 ， 导 致 无 法 将 
服 


动 成 功 。 此 时 除了 参考 屏幕 上 面 的 输出 信息 外 ， 你 也 可 以 透 过 
/etc/init.d/httpd configtest 测试 语法 ， 更 佳 的 解决 方案 是 参考 
/Var/log/httpd/error_log 内 的 数据 ， 可 以 取得 更 详尽 的 解决 之 道 

权限 问题 : 例如 你 刚刚 在 httpd.conf 上 面 的 user 设 定 为 apache 了 ， 但 


偏偏 要 被 浏览 的 档案 或 目录 权限 对 apache 没有 可 读 权 限 ， 自 然 束 无 法 
让 人 家 联 


机 进去 啦 ! 


问题 的 解决 之 道 : 如 果 还 是 没有 办 法 连接 上 来 你 的 Linux Apache 主 
沪 ; 于 











么 请 : 
察看 /var/log/httpd/error_log 这 个 档案 吧 ! 他 应 该 可 以 告诉 你 很 
多 的 信息 喔 ! 
2. 仔细 的 察看 一 下 你 浏览 器 上 面 显 示 的 信息 ， 这 样 才能 够 知道 问题 出 在 
哪里 ! 
3. 丸 一 个 可 能 则 是 防火 墙 啦 ! 察看 一 下 iptables 的 讯 娠 ! 也 可 能 是 
SELinux 的 问题 喔 ! 
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20.2.5 MySQL 的 基本 设 定 


在 LAMP 服务 器 里 面 ，Linux， Apache， PHP 已经 处 理 完毕 ， 那 么 
MySQL 呢 ? 所 以 ， 


接 下 来 就 是 要 处 理 这 个 数据 库 软 件 嗓 。 在 启动 MySQL 前 其 实 系统 并 没 
有 帮 我 们 建立 任 


何 的 数据 库 。 当 你 初次 启动 MYSQL 后 ， 系 统 才 会 针对 数据 库 进行 初始 
化 的 建立 啊 。 不 


以 先 看 看 /var/lib/mysql/ 这 个 目录 ， 里 面 其 实 没 有 任何 数 
据 的 啦 。 


启动 MySQL ( 设 定 MySQL root 密码 与 新 增 MysQL 用 户 账 号 ) 
首先 得 要 局 动 MySQL 才 行 ， 局 动 的 方法 还 是 很 简单 啊 ! 





[root@www ~ 1# /etc/init.d/mysqld start 
[root@www ~]# chkconfig mysqld on 


# 如 果 是 初次 启动 ， 屏 幕 会 显示 一 些 讯 县 且 /vawlib/mysql 会 建立 数据 
库 。 


[root@www ~]# netstat -tulnp | grep mysql' 

Proto Recv-Q Send-Q Local Address Foreign Address State 
PID/Program name 

tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 

2726/mysqld 

# 底下 在 测试 看 能 舍 以 手动 的 方式 连 上 MySQL 数据 库 ! 


[root@www ~]# mysgql -u root 

Welcome to the MySQL monitor. Commands end with ; or \g. 
Your MySQL connection id is 2 

Server version: 5.1.52 Source distribution 

Type help; or \h' for help. Type Ac to clear the current input 
statement. 

mysql> exit 

Bye 


MySQL 预 设 监听 的 埠 口 在 port 3306， 从 上 面 看 来 我 们 的 MySQL 似乎 
是 启动 了 ， 不 过 


刚刚 初始 化 的 MySQL 数据 库 管 理 员 并 没有 任何 密码 ， 所 以 很 可 能 我 们 
的 数据 库 是 会 被 


用 户 搞 烂 掉 的 一 所 以 你 最 好 对 MySQL 的 管理 员 账 号 设 定 一 下 密码 才 
好 。 为 外 ， 上 面 那 


个 root 与 我 们 Linux 账号 的 root 是 完全 无 关 的 ! 因为 MySQL 数据 库 软 
件 也 是 个 多 


人 的 操作 环境 ， 在 该 软件 内 有 个 定理 者 恰好 账号 也 是 root 而 已 。 
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那么 如 何 针 对 MySQL 这 个 软件 内 的 root 这 个 管理 者 设 定 他 的 密码 呢 ? 
你 可 以 这 


样 做 : 


[root@www ~I# mysqladmin -u root password 'your.password' 





# 从 此 以 后 MYSQL 的 root 账号 束 需 要 密码 了 ! 如 下 所 示 : 
[root@www ~]# mysql -u root -p 

Enter password: <== 你 必须 要 在 这 里 输入 刚刚 建立 的 密码 ! 
mysql> exit 


如 此 一 来 MySQL 数据 库 的 管理 方面 会 比较 安全 些 啦 ! 其 实 更 好 的 作法 
征 分别 建 立 不 同 


的 用 户 管 理 不 同 的 数据 库 。 举例 来 说 ， 如 果 你 要 给 予 vbirduser 这 个 用 
户 一 个 MySQL 


的 数据 库 使 用 权 ， 假 设 你 要 给 他 的 数据 库 名 称 为 ” vbirddb， 且 密码 为 
vbirdpw 时 ， 你 


可 以 这 样 做 : 
[root@www ~]# mysql -u root -p 
Enter password: <== 如 前 所 述 ， 你 必须 要 输入 密码 啊 ! 


mysql> create database vbirddb; <== 注 意 每 个 指令 后 面 都 要 加 上 分 号 (;) 





Query OK, 1 row affected (0.01 sec) 

mysql> grant all privileges on vbirddb.* to vbirduser@localhost 
identified by 'vbirdpw'; 

Query OK, 0 rows affected (0.00 sec) 


mysql> show databases; 


| Database | 


| information_schema | 
| mysql | <== 用 来 记录 MySQL 账号 、 主 机 等 重要 信息 的 主 数 
据 库 ! 





| test | 
| vbirddb | <== 我 们 刚刚 建立 的 数据 库 在 此 
二 十 


4 rows in set (0.00 sec) 

mysql> use mysd]; 

mysdql> select * from user where user = 'vbirduser'; 

# 上 面 两 个 指令 在 查询 系统 有 没有 vbirduser 这 个 账号 ， 
大 有 出 现 一 堆 东 西 ， 

# 那 束 是 伍 询 到 该 账号 了 ! 这 样 就 建 置 受 当 哎 ! 








mysql> exit 
net.giang(@hotmail.com 


然后 你 可 以 利用 『 mysql -u vbirduser -p 」 这 个 指令 来 尝试 登入 MySQL 
试看 看 ， 嘿 


嘿 ! 束 知 道 vbirduser 这 个 使 用 者 在 “MySQL 里 面 拥有 一 个 名 称 为 
vbirddb 的 数据 库 


啦 ! 其 他 更 多 的 用 法 束 得 请 你 自行 参考 SQL 相关 的 语法 嘱 ! 不 在 本 文 
的 讨论 范围 啦 ! 








效能 调 校 /etc/my.cnf 

由 于 MySQL 这 个 数据 库 系统 如 果 在 很 多 使 用 者 同时 联机 时 ， 可 能 会 造 
成 某 些 效能 

方面 的 瓶颈 ， 因此 ， 如 果 你 的 数据 库 真 的 好 大 好 大 ， 建 议 可 以 改 用 
postgresql 这 套 

软件 ， 这 套 软件 的 使 用 与 mysql 似乎 差异 不 大 。 不过， 我 们 还 是 提供 一 
些 简单 的 方式 


来 处 理 小 站 的 MySQL 效能 好 了 。 相 关 的 数据 乌 哥 是 参考 这 一 篇 简单 的 
中 文 说 明 : 








[root@www ~l]# vim /etc/my.cnf 

[mysqld| 

default-storage-engine=innodb 

# 关于 目录 数据 与 语系 的 设 定 等 等 

default-character-set = utf8 <== 每 个 人 的 编码 都 不 相同 ， 不 要 随意 跟 
我 一 样 


port = 3306 





skip-locking 
# 关于 内 存 的 设 定 ， 注 意 ， 内 存 的 简单 计算 方式 为 : 
# key_buffer + (sort_buffer + read_buffer ) * max_connection 


# 且 总 量 不 可 高 于 实际 的 物理 内 存量 ! 所 以 ， 我 确 下 的 数据 应 该 是 OK 











的 

#128 + (2+2)*150 = 728MB 
key_buffer = 128M 
sort_buffer_size = 2M 
read_buffer size = 2M 
join_buffer_size = 2M 
max_connections = 150 

max_ connect_errors = 10 
read_rnd_buffer_size = 4M 
max_allowed_packet = 4M 
table_cache = 1024 
myisam_sort_buffer size = 32M 
thread_cache = 16 
query_cache_size = 16M 
tmp_table_size = 64M 

a 由 联机 到 确定 断 线 的 时 间 ， 原 本 是 28800 (sec) ， 约 8 小 时 ， 我 将 他 改 


20 分 钟 ! 
walt timeout = 1200 
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thread_concurrency = 8 
innodb_data_file_path = ibdatal:10M:autoextend 
innodb_buffer pool_size = 128M 
innodb_additional_mem_pool_size = 32M 
innodb_thread_concurrency = 16 
datadir=/var/lib/mysql 
socket=/var/lib/mysqgl/mysql.sock 
user=mysgl 

symbolic-links=0 

[mysqld_safe] 
log-error=/var/log/mysqld.log 
pid-file=/var/run/mysqld/mysdqld.pid 


你 要 注意 的 是 ， 因 为 乌 哥 的 主机 上 面 假设 内 存 有 2GB 啊 ! 所 以 跟 内 存 
相关 的 数据 才 会 


写 很 大 ! 请 依照 你 实际 拥有 的 内 存量 来 处 理 喔 ! 还 得 加 上 你 的 Apache 
本 吴 的 内 存 用 


量 ! 所 以 ... 如 果 你 的 网 站 流量 很 大 的 话 ， 在 校 能 测试 上 面 要 很 注意 啊 ! 














MySQL root 密码 坊 记 的 紧急 处 理 


如 果 你 不 小 心态 记 MySQL 的 密码 怎么 办 ? 网 络 上 有 一 些 工具 可 以 让 你 
去 处 悍 


MySQL 数据 库 的 挽回 。 如 果 你 的 数据 库 内 容 并 不 是 很 重要 ， 删 除 也 无 
所 谓 的 话 (测试 


中 @_@)， 那 么 可 以 将 MySQL 关闭 后 ， 将 Warvlib/mysql/* 那个 目录 内 
的 数据 删除 


掉 ， 然 后 再 重新 启动 MySQL ， 那 么 MySQL 数据 库 会 重建 ， 你 的 root 
叉 没有 密码 啦 ! 


不 过 ， 这 个 方法 仅 适 合 你 的 数据 库 并 不 重要 的 时 候 ， 如 果 数 据 库 很 重 
要 .… 那 千 万 


不 要 随便 删除 啊 ! 
20.2.6 防火 墙 设 定 与 SELinux 的 规则 放行 


设 定好 了 LAMP 之 后 ， 开 始 要 让 客户 站 来 联机 啊 ! 那么 如 何 放 行 呢 ? 
要 放行 哪些 埋 


口 ? 刚刚 的 port 3306 要 不 要 放行 ? 这 里 请 注意 ， 如 果 古 小 型 的 WWW 
网 站 ， 事 实 上 ， 


Apache 是 连接 本 机 的 ” MySQL， 并 没有 开放 给 外 部 的 用 户 来 连接 数据 
库 4 "因此 5 请 不 要 


将 3306 放行 给 因特网 连接 ， 除 非 你 真 的 知道 你 要 给 其 他 的 服务 器 读 取 
你 的 MySQL 喔 ! 


既然 如 此 ， 当 然 只 要 开放 port 80 即 可 。 
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此 外 ， 如 果 你 的 “Apache 未 来 还 想 要 进行 一 些 额外 的 联机 工作 ， 那 么 
SELinux 的 


一 些 简 单 规则 也 得 先 放 行 ! 否则 会 有 问题 啦 ! 不 过 SELinux 的 问题 其 实 
都 好 解决 ， 因 


为 可 以 参考 登录 档 来 修订 啉 ! 好 了 ， 让 我 们 简单 的 来 谈 谈 : 





#1. 放行 防火 增 中 的 port 80 联机 

[root@www ~]# vim /usr/local/virus/iptables/iptables.rule 

iptables -A INPUT -p TCP -i $EXTIF --dport 80 --sport 1024:65534 -j 
ACCEPT 

# 将 上 面 这 一 行 的 批注 拿 掉 即 可 ! 

[root@www ~|]# /usr/local/virus/iptables/iptables.rule 

[root@www ~ 1# iptables-save | grep 80 

-A PREROUTING -s 192.168.100.0/255.255.255.0 -i eth1 -p tcp -m tcp 
--dport 80 

-j REDIRECT --to-ports 3128 <== 这 一 行 是 进行 squid 产生 的 ， 应 该 要 
拿 掉 较 佳 

-A INPUT -ieth0 -ptcp -m tcp --Sport 1024:65534 --dport 80 -] ACCEPT 


， 看 到 上 面 这 行 ， 就 是 将 防火 墙 的 放行 加 进来 了 ， 客 户 端 应 该 是 能 够 联 
六 中 ! 


#2. 解决 SELinux 的 规则 放行 问题 : 

[root@www ~]# getsebool -a | grep httpd <== 会 出 现 一 堆 规则 ， 有 兴趣 的 
如 下 : 

[root@www ~ 上 #Ssetsebool -P httpd_can_network_connect=1 

# 其 他 的 规则 或 类 型 ， 等 待 后 续 的 章节 介绍 再 来 谈 ! 

例题 : 


你 想 要 修改 首页 内 容 ， 且 先 使 用 root 在 /root 底下 建立 了 index.html 


了 ， 


这 个 档案 将 被 移动 到 /var/www/html 底下 ， 请 建立 该 档案 ， 并 且 放 置 成 
首页 档案 ， 


浏览 看 看 。 

答 : 

可 以 透 过 简单 的 方式 建立 一 个 无 关 紧 要 的 首页 档案 : 

[root@www ~]# echo "This is my Home page" > index.html 
[root@www ~]# mv index.html /var/www/html 

[root@www ~]# 1 /var/www/html/index.html 

-TW-r--T--. 1 root root 21 2011-08-08 13:49 /var/ www/html/index.html 
# 权限 看 起 来 是 OK 的 ! 


现在 请 使 用 浏览 器 浏览 一 下 http:/localhost ， 就 会 发 现 无 法 读 取 ! 为 什 
么 ? 请 


检查 /var/log/httpd/error_log 以 及 /var/log/messages 的 内 容 : 
[root@www ~]# tail /var/log/httpd/error_log 


[error] [dlient 192.168.1.101] (13)Permission denied: access to /index.html 
denied 


[root@www ~ 1]# tail /var/log/messages 


Aug 8 13:50:14 www setroubleshoot: SELinux is preventing /usr/sbin/httpd 
"getattr" 


access to /var/www/html/index.html. For complete SELinux messages. run 
sealert -] 
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We 就 是 他 ! 执行 一 下 ， 你 就 能 发 现 如 何 处 理 
ly 1 


20.2.7 开始 网 页 设计 及 安装 架 站 软件 ， 如 phpBB3 


基础 的 LAMP 服务 器 架设 完毕 之 后 ， 基 本 上 ， 你 就 可 以 开始 设计 你 想 
要 的 网 站 喝 ! 


编写 网 页 的 工具 很 多 ， 请 自行 寻找 吧 ! 不 过 对 于 这 个 简单 的 LAMP 服 
务 器 ， 你 必须 要 


知道 的 是 : 


本 首页 目录 在 /varvwww/htmly， 你 应 该 将 所 有 的 WWW 数据 都 搬 
到 该 目 


录放 下 才 对 ! 
注意 你 的 资料 权限 (rwx 与 SELinux)! 务必 要 让 Apache 的 程序 用 户 能 
多 





vl A 
浏览 ! 








尽量 将 你 的 首页 档案 档 名 取 为 index.html 或 index.php ! 


如 果 首 页 想 要 建立 在 其 他 地 方 ， 你 应 该 要 修改 DocumentRoot 那个 参 
数 





(httpd.conf) 
不 要 将 重要 数据 或 者 隐私 数据 放置 到 /var/rwww/html/ 首页 内 ! 
如 果 你 需要 安装 一 些 CGI 程序 的 话 ， 建 议 你 将 他 安装 到 


/Var/www/cgi-bin/ 底下 ， 如 此 一 来 你 不 需要 额外 设 定 httpd.conf 即 可 顺 
利 


启动 CGI 程序 ; 


除了 这 些 基本 的 项 目 之 外 ， 其 实 你 可 以 使 用 因特网 上 面 人 家 已 经 做 好 的 
PHP 程序 


架 站 机 喔 ! 壁 如 说 讨论 区 软件 phpBB3 这 个 玩意 儿 ， 完 整 的 架 站 软件 
PHPNuke 以 及 部 


落 格 软件 lifetype 等 等 。 但 这 些 架 站 机 都 需要 PHP 与 数据 库 的 支持 ， 所 
以 你 必需 要 


将 上 述 介绍 的 LAMP 完整 的 安装 好 才 行 。 如 果 你 不 喜欢 目 己 写 网 页 的 
话 ， 那 么 这 些 有 


用 的 以 站 软件 就 够 你 瞧 的 哆 ! 马 哥 列 出 几 个 连结 给 你 玩 一 玩 移 ! 




















不 过 请 注意 ， 这 些 软件 由 于 是 公开 的 ， 所 以 有 些 怪 叔 上 披 可 能 会 所 以 乱用 
或 乱 改 ， 


此 可 能 会 有 一 些 bug 会 出 现 ! 因此 ， 你 必需 要 取得 最 新 的 版 本 来 玩 才 
行 ， 而 且 架 设 之 








后 还 得 要 持续 的 观 穴 是 否 有 更 新 的 版 本 出 现 ， ”随时 去 更 新 到 最 新 版 本 
才 行 喔 ! 免得 后 


患 无 舅 一 
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oO 
20.3 Apache 服务 器 的 进 阶 设 定 


事实 上 ， 刚 刚 上 头 的 基本 设 定 已 经 很 足够 朋友 们 架设 WWW 服务 器 所 
需 了 ! 不 过 ， 


还 有 很 多 可 以 玩 玩 的 地 方 ， “例如 个 人 用 户 首页 、 虚 拟 主机 以 及 认证 保 
护 的 网 页 等 等 。 


底下 我 们 分 别 来 谈 一 谈 哆 ! 
20.3.1 局 动用 户 的 个 人 网 站 (权限 是 重点 ) 


每 一 部 WWW 服务 需 都 有 一 个 首页 ， 但 是 如 果 每 个 个 人 用 户 都 想 要 有 
可 以 自己 完全 


控 管 的 首页 时 ， 那 该 如 何 设计 ? 呵呵 ! Apache 时 就 帮 我 们 想到 了 ! 不 
过 新 版 的 配置 文 


件 内 营 第 是 默认 将 这 个 功能 取消 的 ， 所 以 你 必需 要 目 行 修订 呢 ! 














[root@www ~]# vim /etc/httpd/conf/httpd.conf 
# 找到 如 下 的 设 定 项 目 ， 大 约 在 366 行 左右 : 


<IfModule mod_userdir.c> 





UserDir disable 


#UserDir public_html 

</If{Module> 

# 将 他 改 成 如 下 的 情况 喔 ! 
<I{fModule mod_userdir.c> 

#UserDir disable 

UserDir www 

</If{Module> 

# 重新 启动 一 下 先 ! 

[root@www ~]# /etc/init.d/httpd restart 


这 只 是 个 范例 ，Apache 默认 的 个 人 首页 是 放置 在 家 目录 下 的 
~/public_html/ 目录 下 ! 


假如 你 的 系统 有 个 账号 叫做 student， 那么 预 设 的 属于 student 的 个 人 首 
页 束 会 放置 


在 /home/student/public_html/ 底下 。 不 过 ， 这 个 public_html 实在 很 讨 
大 ， 看 起 


来 跟 网 页 没有 什么 特殊 关连 性 ， 因 此 乌 哥 都 会 将 这 个 目录 改 为 “www， 
所 以 student 的 


个 人 首页 就 会 是 在 /home/student/www/ 目录 下 ， 比 较 好 记忆 。 
例题 : 


如 何 让 未 来 所 有 『 新 增 」 的 用 户 默 认 家 目录 下 都 有 个 www 的 目录 ? 


全: 。 
FE: 











因为 新 增 用 户 时 所 参考 的 家 目录 在 /etc/skel 目录 内 ， 所 以 你 可 以 直接 
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mkdir /etc/skel/lwww 即 可 。 若 想 要 让 用 户 直 接 拥 有 一 个 简易 的 首页 ， 还 
能 够 


使 用 echo "My homepage" > /etc/skel/www/index.html 呢 ! 


个 人 首页 的 URL 以 及 目录 的 权限 、SELinux 设 定 


现在 假设 我 们 要 让 已 经 存在 系统 中 的 student 这 个 账号 具有 个 人 首页 ， 
那 就 得 要 


手动 去 建 置 所 需要 的 目录 与 档案 才 行 。 现在 请 登入 _ student， 并 用 该 账 
号 建 置 底下 的 


相关 信息 : 





[student@www ~]$ mkdir www 


[student@www ~]$ chmod 755 www <== 针 对 www 目录 开放 权限 





[student@www ~]$ chmod 711 ~ <== 不 要 筷 了 家 目录 也 要 改 ! 
[student@www ~]$ cd www 
[studentOwww www]$ echo "Test your home" >> index.html 


由 于 CentOS 默认 的 用 户 家 目录 权限 是 drwx------ ， 这 个 权限 将 无 法 让 
Apache 的 程 


序 浏览 啊 ! 所 以 你 至 少 要 让 你 的 家 目录 权限 成 为 drwx--x--x 才 行 ! 这 个 
很 重要 啊 ! 那 


么 未 来 只 要 你 在 浏览 器 的 网 址 列 这 样 输入 : 


http:// 你 的 主机 名 /~student/ 








『 理 论 上 」 就 能 够 看 到 你 的 个 人 首页 了 。 不 过 ， 可 惜 的 是 ， 我 们 的 
SELinux 并 没 


有 放行 个 人 首页 ! 所 以 ， 此 时 你 会 发 现 浏 览 絮 出 现 [You don't have 
permission」 的 


讯 上 县 ! 赶紧 看 一 下 你 的 ”/var/log/messages， 里 面 应 该 会 教 你 进行 这 项 工 
作 ; 


[root@www ~|]# setsebool -P httpd_enable homedirs=1 
[root@www ~|]# restorecon -Rv /home/ 
# 第 一 个 指令 在 放行 个 人 首页 规则 ， 第 二 个 指令 在 处 理 安全 类 型 ! 


就 可 以 看 到 你 的 使 用 者 个 人 网 页 嘿 ! 之 后 让 使 用 者 自己 去 设计 他 的 网 站 
吧 ! 现在 你 知道 


那个 毛毛 虫 (~) 在 URL 上 面 的 意义 了 吧 ? 和 A! 不 过 ， 多 这 个 毛毛 虫 就 
很 讨厌 一 我 可 


不 可 以 将 使 用 者 的 个 人 网 站 设 定 成 为 : 
http:// 你 的 主机 名 /student/ 

是 可 以 啦 ! 最 简单 的 方法 是 这 样 的 : 

[root@www ~]# cd /varwww/html 
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0 


[root@www html]# ln -s /home/student/www student 


由 于 我 们 首页 的 『 Options 」 内 有 FollowSymLinks 这 个 参数 的 原因 ， 所 
以 可 以 直接 


使 用 连结 档 即 可 。 ” 男 外 我 们 也 可 以 使 用 Apache ”提供 的 别名 功能 


(Alias)， 例 如 这 样 
做 : 
[root@www ~]# vim /etc/httpd/conf/httpd.conf 


# 找 个 不 与 人 家 设 定 值 有 干扰 的 地 方 加 入 这 个 设 定 项 目 : 





Alias /student/ " /home/student/Wwww/" 
<Directory "/home/student/www"> 
Options FollowSymLinks 
AllowOverride None 

Order allow,deny 

Allow from all 

</Directory> 

[root@www ~|]# /etc/init.d/httpd restart 


不 过 ， 如 果 你 使 用 这 个 方法 的 话 得 要 特别 注意 ， 在 httpd.conf 内 的 Alias 
后 面 接 的 


目录 ， 和 需要 加 上 目录 符号 (/) 在 结尾 处 ， 同时， 网 址 列 必须 要 输入 


http://IP/student/ ! 亦 即 是 结尾 也 必须 要 加 上 和 斜 线 才 行 ! 否则 会 显示 找 不 
到 该 URL 


喔 ! 
20.3.2 启动 某 个 目录 的 CGI (perl) 程序 执行 权限 


在 前 几 个 小 节 里 面 我 们 有 谈 到 ， 如 果 你 想 要 Apache 可 以 执行 perl 之 类 
的 网 页 程 














mod_perl 与 





0 然后 我 们 也 提 到 想 要 执行 CGI 程序 就 得 
到 


/var/www/cgi-bin/ 目录 下 去 执行 。 如 果 你 想 要 在 其 他 目录 底下 执行 CGI 
程序 是 人 否 昌 


以 ? 当然 行 啊 ! 








利用 新 目录 下 的 Options 参数 设 定 : 
假设 想 要 执行 CGI 的 程序 附 文件 名 为 .cgi 或 .pl ， 且 放置 的 目录 在 


/Var/www/html/cgi/ 时 ， 你 可 以 这 样 做 : 





[root@www ~]# yum install mod_python mod_perl 
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[root@www ~]# vim /etc/httpd/conf/httpd.conf 

# 找 到 懈 下 这 一 行 ， 大 约 在 797 行 左右 啦 : 

#AddHandler cgi-script .cgi 

# 将 他 改 成 底下 的 模样 ， 让 附 档 名 为 .pl 的 档案 也 能 执行 喔 ! 
AddHandler cgi-script .cgi .pl 

# 然后 加 入 底下 这 几 行 来 决定 开放 某 个 目录 的 CGI 执行 权限 。 
<Directory "/var/www/html/cgi"> 


Options +ExecCGI 


AllowOverride None 

Order allow,deny 

Allow from all 

</Directory> 

[root@www ~|]# /etc/init.d/httpd restart 


接 下 来 只 要 让 你 的 CGI 程序 具有 x 权限 ， 那 么 他 就 可 以 执行 啦 ! 举例 
来 说 ， 你 的 档案 


在 /var/www/html/cgi/helloworld.pl 的 话 ， 那 么 : 








[root@www ~#Pmkdir /var/www/html/cgi 

[root@www ~]# vim /var/www/html/cgi/helloworld.pl 
#!/usr/bin/perl 

print "Content-type: text/html i\n\rn"; 

print "Hello, World."; 

[root@www ~]# chmod at+x /var/ www/html/cgi/helloworld.pl 


然后 在 网 址 列 输入 : ” 『http:// 主 机 名 或 IP/cgi/helloworld.pl」 即 可 执行 该 
档案 并 将 


结果 显示 在 屏幕 上 面 哎 ! 





使 用 ScriptAlias 的 功能 : 


a 更 简单 呢 。 我 们 现在 假设 所 有 
全 


/Var/www/perl/ 目录 下 的 档案 都 可 以 是 perl 所 撰写 的 程序 代码 ， 那 么 我 
们 可 以 这 样 


做 : 

[root@www ~]# vim /etc/httpd/conf/httpd.conf 

# 同样 的 你 要 先 确 认 这 一 行 是 存在 的 ! 

AddHandler cgi-script .cgi .pl 
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0 

# 然后 加 入 底下 这 几 行 来 决定 开放 某 个 目录 的 CGI 执行 权限 。 
ScriptAlias /perl/ "/var/www/perl/" 

[root@www ~]# /etc/init.d/httpd restart 

[root@www ~]# mkdir /var/www/perl 


[root@www ~]# cp -a /var/ www/html/cgi/helloworld.pl /var/ www/perl 


现在 ， 请 在 网 址 列 输入 : 『http:/W/IP/perl/helloworld.pl ， 就 能 够 看 到 刚 
刚 的 数据 


了 ! 这 个 方法 比较 棒 啦 ! 因为 该 目录 不 需要 在 Apache 首页 底下 也 可 以 
成 功 的 啦 ! 这 两 


个 方法 你 可 以 随意 取 一 个 来 处 理 即 可 ! 不 需要 两 个 都 进行 啦 ! 
20.3.3 找 不 到 网 页 时 的 显示 讯 县 通知 


如 果 你 的 /varwww/htmlycgi 目录 底下 没有 任何 首页 档案 (index.???) 时 ， 
那 当 


使 用 者 在 网 址 列 输入 『 http://your.hostname/cgi 」， 请 问 结果 会 显示 出 











什么 昵 ? 可 
能 有 两 个 : 
如 果 你 的 Options 里 面 有 设 定 Indexes 的 话 ， 那 么 该 目录 下 的 所 有 档 


案 都 
会 被 列 出 来 ， 提 供 类 似 FTP 的 连结 页 面 。 
如 果 没 有 指定 Indexes 的 话 ， 那 么 错误 讯 明 通知 就 会 密 显示 出 来 。 


事实 上 CentOS 所 提供 的 Apache 已 经 规范 好 一 些 简单 的 错误 资料 网 页 
了 ， 你 可 以 


到 /var/www/error/ 目录 下 瞧 瞧 就 晓得 。 不 过 该 目录 下 的 档案 并 没有 中 文 
讯 奶 ， 所 以 ... 


真 要 命 ! 至 于 Apache 的 错误 讯 垦 设 定 在 这 里 : 

[root@www ~]# vim /etc/httpd/conf/httpd.conf 

# 大 约 在 875 行 左右 ， 预 设 就 是 批注 掉 的 ! 

# ErrorDocument 403 /error/HTTP FORBIDDEN.html.var 

# ErrorDocument 404 /error/HTTP_ NOT_ FOUND.html.var 

# ErrorDocument 405 /error/HTTP METHOD NOT ALLOWED.html.var 
# ErrorDocument 408 /error/HTTP_ REQUEST_TIME OUT.html.var 

.…( 后 面 省 略 )…. 


里 然 Apache 默认 有 提供 一 些 额 外 的 数据 给 我 们 使 用 ， 不 过 ， 乌 哥 不 是 
很 喜欢 那样 的 画 


面 啦 ! 反而 比较 喜欢 像 是 Yahoo 或 是 其 他 大 型 的 网 站 所 提供 的 信息 页 
面 ， 可 以 提供 给 


用 户 一 些 有 效 的 链接 ， 这 样 会 比较 方便 用 户 链 接 到 我 们 的 网 站 啊 ! 此 
时 我 们 可 以 这 样 


做 : 
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[root@www ~]# vim /etc/httpd/conf/httpd.conf 


# 找 到 底下 这 一 段 ， 大 约 在 836 行 左 右 ， 看 看 这 些 简单 的 范例 移 : 





#ErrorDocument 500 "The server made a boo boo." 

ErrorDocument 404 /missing.html <== 将 批注 拿 掉 吧 ! 
#ErrorDocument 404 "/cgi-bin/missing_handler.pl" 

#ErrorDocument 402 http:/www.example.com/subscription_info.html 
[root@www ~|]# /etc/init.d/httpd restart 

上 面 那 个 档案 /missing.html 必需 要 放置 在 你 的 首页 目录 下 ， 亦 即 是 


/Var/www/html/missing.html 啦 ! 要 提醒 你 的 是 : 『 你 的 所 有 配置 文件 当 
中 (包括 


/etc/httpd/conf.d/*.conf) 只 能 存在 一 个 ErrorDocument 404 ... 的 设 定 值 ， 
否则 
[本 | 从 


将 以 较 晚 出 现 的 设 定 为 主 」】。 所 以 你 得 先 搜 寻 一 下 ， 尤 其 是 很 多 Linux 
版 本 的 Apache 


并 没有 将 默认 的 错误 讯息 批注 呢 。 至 于 那个 404 是 喻 意思 ? 他 的 意义 是 
这 样 的 : 


100-199: 一 些 基 本 的 讯息 


200-299: 客户 并 的 要 求 已 成 功 的 达成 





300-399: Client 的 需求 需要 其 他 额外 的 动作 ， 例 如 redirected 等 等 
400-499: Client 的 要 求 没 有 办 法 完成 (例如 找 不 到 网 页 ) 
500-599: 主机 的 设 定 错误 问题 
好 了 ， 接 下 来 让 我 们 编辑 一 下 那个 missing.html 的 档案 内 容 吧 ! 入 信 
[root@www ~]# vim /var/ www/html/missing.html 
<html> 
<head> 
<meta http-equiv="Content-Type" content="text/html; 
charset=utf8"> 
<title> 错 误 讯 县 通知 </title> 
<head> 
<body> 
<font size=+2 face=" 标 楷体 "> 您 输入 的 网 页 找 不 到 ! </font><br /> 
<hr /> 
亲爱 的 网 友 ， 你 所 输入 的 网 址 并 不 存在 我 们 的 服务 器 当中 ，， 
有 可 能 是 因为 该 网 页 已 经 被 管理 原 删 除 ， 
或 者 是 你 输入 了 错误 的 网 址 。 请 再 次 查 明 后 在 填 入 网 址 虽 ! 
或 按 <a href="/"> 这 里 </a> 回 到 首页 。 
感谢 你 常常 来 玩 ! 人 人 <br /> 


<hr /> 





若 有 任何 问题 ， 欢 迎 联 络 管理 员 <a 
href="mailto:vbird@www.centos.vbird">vbird@www.centos.vbird</a>。 
</body> 
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知识 遍 息 通知 - Mozilla Firefox 
档案 也 ”编辑 三 检视 (加 历史 悦 书 菩 加 工具 全 说明) 


六 : 
您 翰 入 的 网 页 找 不 到 ! 





鞠 受 的 币 友 ， 你 所 输 力 网 引 亚 不 存在 我 们 的 伺服 妖 党 中 ， 有 可 能 是 因 扁 该 秽 
页 已 径 被 管理 局 如 际 ， 或 者 是 你 坦 入 了 错误 的 秽 址 。 请 再 次 查 明 知 在 塌 久 秽 直 
喔 ! 或 拨 运 香 回 到 首页 。 感谢 你 常常 来 折 1 ^” 


若 有 任何 沿 题 ， 欧 迎 联 秒 管 理 员 ybirdGwnww.centos wbird 。 


http:4192.168.1.100， 





0 


</html> 


现在 你 如 果 在 网 址 列 随便 输入 一 个 服务 器 上 不 存在 的 网 址 ， 就 会 出 现 如 
下 的 画面 只: 


图 20.3-1、 找 不 到 网 页 时 的 错误 通报 讯 忌 


当然 啦 ， 你 可 以 自行 设 定 出 符合 你 网 页 风格 的 数据 啦 ! 例如 乌 哥 的 网 站 
上 面 束 列 出 


一 些 基本 的 连结 ， ”帮助 网 友 们 可 以 顺利 的 取得 他 们 想 要 的 数据 啊 ! 这 
也 是 很 重要 的 功 


能 呢 ! 和信 


20.3.4 浏览 权限 的 设 定 动作 (order, limit) 


你 该 如 何 限制 客户 端 对 你 的 WWW 联机 呢 ? 你 会 说 ， 那 就 利用 iptables 
这 个 防火 


墙 咏 ! 那 有 什么 难 的 ? 问题 是 ， 如 果 同 一 个 IP 来 源 ， 他 某 些 网 页 可 以 
浏览 ， 但 某 些 


网 页 不 能 浏览 时 ， 该 如 何 设 定 ? iptables ” 仅 能 一 口气 开放 或 整个 拒绝 ， 
无 法 针对 WWW 


由 分 放行 。 那 该 如 何 处 理 ? 惑 透 过 apache 内 建 的 order 项 目 来 
处 置 即 可 


先 来 回忆 一 下 order 搭配 allow, deny 的 相关 限制 : 
Order deny,allow: 以 deny 优先 处 理 ， 但 没有 写 入 规则 的 则 默认 为 


allow。 

常用 于 : 拒绝 所 有 ， 开 放 特 定 的 条 件 ; 

Order allow,deny: 以 allow 为 优先 处 理 ， 但 没有 写 入 规则 的 则 默认 为 
deny。 和 常用 于 : 开放 所 有 ， 拒 绝 特定 的 条 件 。 


如 果 allow 与 deny 的 规则 当中 有 重复 的 ， 则 以 预 设 的 情况 (Order 的 
纲 











范 ) 为 主 。 


0 OR 
联机 ， 其 


他 的 则 可 以 联机 ， ”由 上 面 的 说 明 你 可 以 知道 这 是 『 开 放 所 有 ， 拒 绝 特 
定 」 的 条 件 ， 所 


以 你 可 以 这 样 做 设 定 : 
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[root@www ~]# vim /etc/httpd/conf/httpd.conf 


<Directory "/var/www/html"> 

Options FollowSymLinks 

AllowOverride None 

Order allow,deny 

Allow from all 

Deny from 192.168.1.101 <== 约 在 344 行 新 增 底 下 两 行 ! 
Deny from .gov.tw 

</Directory> 

[root@www ~]# /etc/init.d/httpd restart 


注意 一 下 ， 因 为 Order 是 『 allow,deny 」， 所 以 所 有 规则 当中 属于 
allow 的 都 会 被 


优先 提 到 最 上 方 ， 为 了 避免 这 个 设计 上 的 困扰 ， 所 以 建议 你 直接 将 
allow 的 规则 写 在 


0 而 由 于 规则 当中 192.168.1.101 隶属 于 all 当中 (all 代表 所 有 的 
嘛 ! )， 


因此 这 个 设 定 项 目 则 为 默认 值 ， 亦 即 为 deny 啦 ! 那个 .gov.tw 的 设 定 项 
目 也 一 样 。 


如 果 是 底下 的 模样 : 
[root@www ~]# vim /etc/httpd/conf/httpd.conf 


# 底下 可 是 个 错误 的 示范 ， 请 仔细 看 下 个 段落 的 详细 说 明 喔 ! 








<Directory "/var/www/html"> 


Options FollowSymLinks 


AllowOverride None 
Order deny,allow 

Deny from 192.168.1.101 
Deny from .gov.tw 
Allow from all 
</Directory> 


虽然 deny 会 先 挪 到 上 方 来 处 理 ， 不 过 因为 192.168.1.101 是 在 all 的 范围 
内 ， 所 以 


发 生 重 复 ， 因此 这 个 设 定 值 将 会 以 预 设 的 allow 为 主 ， 因 此 就 无 法 限制 
住 这 个 


192.168.1.101 的 存 取 啦 ! 这 边 很 容易 搞 错 的 响 ! 乌 哥 也 是 常常 搞 到 头 
和 代 脑 胀 的 一 


例题 : 
如 果 有 个 应 该 要 保护 的 内 部 目录 ， 假 设 在 /Var/www/html/lan/ ， 我 仅 要 


让 192.168.1.0/24 ”这 个 网 域 可 以 浏览 的 话 ， 那 么 你 应 该 要 如 何 设 定 的 
好 ? 


父 : 


DC 。 





个 案例 当中 有 点 像 是 『 拒 绝 所 有 联机 ， 仅 接受 特定 联机 」 的 样子 ， 


可 以 使 用 deny,allow 那个 情况 ， 所 以 你 可 以 这 样 做 : 
<Directory "/var/www/html/lan"> 


Options FollowSymLinks 


AllowOverride None 
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Order deny,allow 

deny from all 

allow from 192.168.1.0/24 
</Directory> 


事实 上 ， 如 果 想 要 让 某 个 网 域 或 者 是 IP 无 法 浏览 的 话 ， 最 好 还 是 利用 
iptables 来 处 


理 比 较 妥 当 。 不 过 如 果 仪 是 某 些 重 要 目录 不 想 让 人 家 来 查阅 的 话 ， 那 
么 这 个 allow， 





deny 与 order 的 设 定数 据 可 就 很 值得 参考 了 。 


而 除了 这 个 order 设 定 值 之 外 ， 我 们 还 有 个 限制 客户 端 能 进行 的 动作 的 
设 定 喔 


那 束 是 Limit 这 个 设 定 啦 ! 举例 来 说 ， 如 采 我 们 想 要 让 用 户 在 


/var/www/htmllan 这 


个 目录 下 仅 能 进行 最 阳春 的 GET, POST, OPTIONS 的 功能 ， 除 了 这 几 个 
之 外 的 其 他 功能 


通通 不 允许 ， 那么 你 可 以 这 样 做 : 
[root@www ~]# vim /etc/httpd/conf/httpd.conf 
<Directory "/var/www/html/lan"> 


AllowOverride none 


Options FllowSymLinks 

# 先 允 许 能 够 进行 GET, POST 与 OPTIONS 啦 ! 
<Limit GET POST OPTIONS> 

Order allow,deny 

Allow from all 

</Limit> 

# 再 规定 除了 这 三 个 动作 之 外 ， 其 他 的 动作 通通 不 允许 啦 ! 
<LimitExcept GET POST OPTIONS> 

Order deny,allow 

Deny from all 

</LimitExcept> 

</Directory> 


透 过 Limit 与 LimitExcept 承 能 够 处 理 客 户 端 能 够 进行 的 动作 啦 ! 也 就 
有 办 法 针对 你 


的 数据 进行 细部 保护 鄂 。 不 过 这 些 保 护 真 的 很 细部 ， 一 般 小 网 站 大 致 
上 用 不 到 Limit 


这 个 玩意 儿 说 。 
20.3.5 服务 器 状态 说 明 网 页 


既然 已 经 安装 好 了 WWW 服务 器 ， 除 了 提供 服务 之 外 ， 重 要 的 古 要 如 
何 维护 嘱 ! 嘿 


咖 ! ”那么 是 否 一 定 要 额外 安装 其 他 的 软件 才能 知道 目前 的 主机 状态 
呢 ? 当然 不 需要 啦 ! 
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我 们 可 以 透 过 Apache 提供 的 特别 功能 来 查询 主机 目前 的 状态 ! 那 就 是 
mod_status 这 


0 ! 这 个 模块 默认 是 关闭 的 ， 你 必须 要 修改 配置 文件 来 局 动 他 
行 。 


[root@www ~]# vim /etc/httpd/conf/httpd.conf 

# 先 确 定 底 下 这 几 个 项 目 真 的 有 存在 才 行 ! 

LoadModule status_module modules/mod_status.so <== 大 约 在 178 行 ， 束 
是 模块 的 加 载 

Bee on On <== 大 约 在 228 行 ， 你 可 以 将 他 打开 ， 信 息 会 比较 








# 底下 的 数据 则 大 约 在 924 行 左 右 ， 你 可 以 将 他 修改 成 为 这 样 : 
<Location /server-status> 

SetHandler server-status 

Order deny,allow 

Deny from all 

Allow from 192.168.1.0/24 

Allow from 127.0.0.1 

</Location> 

[root@www ~]# /etc/init.d/httpd restart 


接 下 来 你 只 要 在 你 的 网 址 列 输入 主机 名 后 面 加 上 http://hostname/server- 
status 妇 ]] 





可 发 现 如 下 的 模样 : 
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hpeche Statos -Moila Fietox ii -oo 
档案 加 编辑 四 检视 吧 历史 局 书签 号 工具 全 说 明 人 8) 


Me Server Status for 192.168.1. 100 5 


Server Version: Apache/2.2.15 (Un DAVI2 PHP/S.3.2 mod pythom3.3.1 
Pythor2.6.5 mod perli2.0.4 Petrlr5.10.1 
Server Built: Jul ? 2011 11:30:37 





Cutrent Time: Monday, 08-B&ug-2011 14:10:55 CST 

了 及 estatt Time: Monday, 08-Aue-2011 14:10:42 CST 

Parent Server Generation: 1 

Server uptime: 12 seconds 

Tetal accesses: 0 - Total Trattic: 0 kB 

CPU Usage: ud s0 cu0 cs0 

0 requests/sec - 0 Bisecond - 

1 reaquests currently betng processed, ytdle workers a 
4| | »|.:: 





图 20.3-2、 服 务 器 目前 的 状况 回报 网 页 


输出 的 结果 包括 目前 的 时 间 以 及 Apache 重新 局 动 的 时 间 ， 还 有 目前 已 
经 局 动 的 程 


序 等 等 ， ”还 有 网 页 最 下 方 会 显示 每 个 程序 的 客户 端 与 服务 器 端的 联机 
状态 。 虽 然 显 示 


的 状况 挺 阳春 ， 不 过 该 有 的 也 都 有 了 ， ”可 以 让 你 约略 了 解 一 下 服务 右 
的 状况 吃 。 要 注 


意 喔 ， 可 查阅 者 (allow from 的 参数 ) 还 是 需要 限制 的 比较 严格 一 点 啦 ! 


20.3.6 .htaccess 与 认证 网 页 设 定 











对 于 保护 Apache 本 映 的 数据 方面 ， 除 了 上 述 的 Order 以 及 Limit 之 外 ， 
还 有 什 


么 方式 呢 ? 因为 Order 与 Limit 主要 是 针对 IP 网 域 或 者 是 主机 名 来 管 
理 ， 那 如 果 


我 们 客户 端 是 使 用 拨 接 方式 取得 IP， 那么 IP 会 一 直 变 动 的 ， 如 此 一 来 
那个 保护 的 目 


录用 户 也 就 不 能 在 任何 地 方 进 入 了 ， 会 造成 一 些 困 扰 。 


此 时 如 果 能 够 使 用 密码 保护 的 方式 ， 让 用 户 可 以 输入 账号 /密码 即 可 取 
得 浏览 的 权 


限 的 话 ， 那 客户 端 就 不 用 受到 那个 order 的 Allow, deny 的 限制 啦 ! 真 好 
一 呵呵 ! 


Apache 确实 刚好 有 提供 一 个 简单 的 认证 功能 ， 让 我 们 可 以 轻松 愉快 的 
就 设 定好 密码 保 


护 的 网 页 呢 ! 
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Tips: 

什么 是 受 保护 的 数据 呢 ? 举例 来 说 ， 学 校 老 师 们 可 能 会 提供 一 些 教 
学 教材 或 者 是 习题 给 同学 ， 这些 数据 不 想 给 所 有 人 取得 ， 那 么 就 可 
以 将 这 些 数 据 放 在 特定 的 受 保护 的 目录 中 。 还 有 例如 某 些 重要 的 
Apache 服务 器 分 析 的 数据 (本 章 后 面 提 及 的 一 些 分 析 工 具 )， 这 些 


数据 建 置 的 方法 需要 局 用 CGI 程序 ， 而 CGI 程序 的 执行 是 有 风险 

的 ， 而 且 那 些 分 析 所 得 的 数据 也 很 重要 。 此 时 ， 该 程序 与 输出 结 

就 需要 放 在 受 保护 的 目录 啦 ! 

那么 那个 认证 网 页 如 何 搞定 ? 简单 的 说 ， 他 要 这 样 处 理 : 
ee 目录 : 既然 我 们 是 『 按 了 某 个 链接 进入 茶 个 目录 之 后 ， 








现 对 话 窗口 」， 那么 首先 当然 就 是 要 有 那个 设 定 为 认证 网 页 的 『 目 
录 」 嘱 ! 请 


注意 ， 是 要 目录 才 行 喔 ! 


到 2 Apache 所 需 参数 : 然后 ， 在 对 话 窗口 中 ， 既 然 我 们 需要 输入 账 
写 与 密 En 


人 码 ， 那么 自然 就 需要 密码 文件 哆 ! 另外 ， 虽 然 Apache 有 文 持 LDAP 及 
MySQL 等 


等 的 认证 机 制 ， 不 过 我 们 这 里 并 不 讨论 其 他 的 认证 机 制 ， 完全 使 用 
Apache 的 


默认 功能 而 已 ， 所 以 ， 底 下 我 们 会 使 用 基本 (Basic) 的 认证 模式 喔 ! 


人 密码 档案 : 处 理 完 基本 的 设 定 后 ， 再 来 则 是 建立 登入 时 所 需要 的 
账号 


密码 ! 
4. 最 后 ， 重 新 启动 Apache 就 OK 啦 ! 


第 二 个 步骤 会 比较 有 趣 ， 我 们 资 过， 任何 的 设 定 资料 都 可 以 直接 
写 到 


httpd.conf 这 个 配置 文件 当中 ， 所 以 设 定 保护 目录 的 参数 数据 确实 可 以 

















与 入 


httpd.conf 当中 。 不 过 ， 想 一 想 ， 如 果 你 的 Apache 服务 器 有 30 个 使 用 
前 具 有 仆人 


首页 ， 然 后 他 们 都 需要 制作 保护 目录 ， 那 个 httpd.conf 只 有 号 为 root 的 
你 才能 够 修 


改 ， 更 可 怕 的 是 『 每 次 改 完 都 需要 重新 启动 Apache」 人 一 请 问 ， 你 的 时 


间 精 力 古 否 会 受 
到 『 很 严 历 的 考验 ? ] 


所 以 啦 ， 如 果 我 们 能 够 透 过 外 部 的 档案 来 取代 设 定 “httpd.conf 内 的 参 
数 ， 那 么 是 


否 会 比较 好 ? 而 且 最 好 能 够 该 档案 设 定 即 生效 ， 不 需要 重新 局 动 
Apache 的 话 ， 那 束 


更 好 啦 ! 因为 如 此 一 来 ， ”你 就 可 以 交 给 使 用 者 自行 管理 他 们 的 认证 网 
页 喝 ! 呵呵 ~ 透 


过 httpd.conf 内 的 AllowOverride 参数 ， 配 合 .htaccess 这 个 档案 的 设 定 
就 OK 搞 


定 ! 这 个 设 定 项 目 与 配置 文件 httpd.conf 的 关系 可 以 这 样 看 : 
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使 用 者 性 峰 /arwwwihtmlprotect 
时 并 始 参考 系统 设 定 的 权 隅 









昔 /var/www/htmliprotect/.htaccess 
人 存在 了 时 起 档 案 的 | 内 容 设 定 参 数 中 ， 
钥 AuthC onfig 有 了 关 的 将 鲁 
httpd,conf 的 识 定 





情 肥 登 考 


tory “Hvar/wwwihtml/protlect” > 


AllowOvemde AuthContig 

最 被 和 精 打 ' 看 .htaccess 是 否 存在 : 

</Directory> 1. 若 存在 ' 出 以 .htaccess 的 设 定 圳 闭 
2. 若 不 存在 :以 httpd.conf 设 定 骨 准 : 


图 20.3-3、.htaccess 与 主要 配置 文件 httpd.conf 的 相关 性 








也 就 是 说 : 


主 配 置 文件 httpd.conf 的 修订 : 你 必需 要 在 httpd.conf 这 个 主 配置 文 
件 


当中 先 以 AllowOverride 指定 某 个 目录 下 的 .htaccess 能 够 进行 取代 的 参 
数 


为 何 ? 一 般 有 AuthConfig, Options 等 等 ， 考 虑 到 系统 数据 的 安全 ， 建 议 
提供 


AuthConfig 的 项 目 束 好 了 。 设 定 完 毕 后 请 重新 启动 Apache。 
.htaccess 放置 的 目录 : 在 受 保护 的 目录 底下 务必 要 存在 .htaccess 这 个 
档案 ， 透 过 这 个 档案 即 可 修改 httpd.conf 内 的 设 定 啊 ! 


.htaccess 的 修改 : .htaccess 设 定 完 『 立 刻 生 效 」， 不 需要 重新 局 动 
Apache， 


因为 该 档案 的 内 容 是 『 当 有 客户 端 浏览 到 该 目录 时 ， 该 档案 才 会 被 使 用 
来 取代 原 


有 的 设 定 。 








既然 .htaccess 的 用 途 比较 广 ， 所 以 底下 我 们 不 介绍 httpd.conf 的 认证 参 
数 了 ， 


请 你 自行 测试 即 可 。 底 下 主要 以 .htaccess 档案 的 设 定 为 主 喔 ! 赶紧 来 看 
看 吧 ! 





1. 建立 保护 目录 的 数据 


假设 我 要 将 受 保护 的 数据 放置 到 /var/www/html/protect 当中 ， 记 得 ， 这 
上 目录 


要 让 Apache 可 以 浏览 到 才 行 。 所 以 你 可 以 立刻 将 一 些 重 要 的 资料 给 他 
搬移 到 这 里 来 。 


我 们 先 这 样 测试 一 下 吧 ! 建立 个 简单 的 测试 网 页 即 可 。 
[root@www ~]# mkdir /var/ www/html/protect 
[root@www ~]# vim /var/ www/html/protect/index.html 
<html> 

<head><title> 这 是 个 测试 网 页 啊 ! </title></head> 
<body> 看 到 这 个 画面 了 吗 ? 如 果 看 到 的 话 ， 

表示 你 可 以 顺利 进入 本 受 保护 网 页 
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啦 ! 


</body></html> 


2.1 以 root 的 身份 处 理 httpd.conf 的 设 定数 据 


这 个 动作 仅 有 root 能 作 啦 ! 你 要 开始 编辑 httpd.conf ， 让 受 保护 的 那个 
目录 可 


以 使 用 .htaccess 啊 ! 


[root@www ~]# vim /etc/httpd/conf/httpd.conf 





# 确定 底下 这 几 行 是 存在 的 ， 约 在 400 行 左 右 ! 
AccessFileName .htaccess 

<Files ~ "MAM.ht"> 

Order allow,deny 

Deny from all 

Satisfy All 

</Files> 


# 在 某 个 不 受 影 响 的 地 方 加 入 这 一 段 : 





<Directory "/var/www/html/protect"> 

AllowOverride AuthConfig 

Order allow,deny 

Allow from all 

</Directory> 

[root@www ~]# /etc/init.d/httpd restart <== 重 新 启动 ， 不 要 访 记 了 ! 

这 样 就 设 定 受 当 了 ， 很 简单 吧 ! 再 接 下 来 要 准备 .htaccess 的 建立 了 。 


2.2 建立 保护 目录 下 的 .htaccess 档案 : 只 要 有 权限 建立 者 即 可 进行 











要 注意 ， 这 个 档 采 是 在 保护 目录 后 下 嘿 ! 不 要 放 错 地 方 啦 ! 所 以 你 要 这 
样 做 : 


[root@www ~]# cd /var/www/html/protect 
[root@www protect]# vim .htaccess 


# 只 要 加 入 底下 这 几 行 即 可 





AuthName "Protect test by .htaccess" 
Authtype Basic 

AuthUserFile /var/www/apache.passwd 
net.giang(@hotmail.com 

require user test 

这 些 参数 的 意义 是 这 样 的 : 


AuthName: 在 要 你 输入 账号 与 密码 的 对 话 窗口 中 ， 出 现 的 『 提 示 字 
和 从] 


AuthType: 认证 的 类 型 ， 我 们 这 里 仅 列 出 Apache 预 设 的 类 型 ， 亦 即 


是 『basic] 
的 啦 


AuthUserFile: 这 个 保护 目录 所 使 用 的 账号 密码 配置 文件 。 ”也 就 是 
说 ， 这 
个 档案 是 随便 你 设 定 的 ， 当 然 啦 ， 所 以 使 用 者 当然 可 以 自行 设 定 账号 与 
密码 喝 。 


档案 内 的 账号 不 限 在 /etc/passwd 出 现 的 使 用 者 ! 另外 ， 这 个 档案 不 要 放 
置 在 


Apache ”可 以 浏览 的 目录 内 ， 所 以 我 将 他 放置 在 首页 之 外 ! 避免 被 不 小 











心 鳃 取 。 


require: 后 面 接 可 以 使 用 的 账号 。 假 如 /Var/www/apache.passwd 内 有 


个 账号 ， 分别 是 test, testl, test2 ， 那 我 这 里 只 写 了 test ， 因 此 test1， 


test2 将 无 法 登入 此 目录 。 如 果 要 让 该 密码 文件 内 的 用 户 都 能 够 登入 ， 
束 改 成 


[require valid-user」 即 可 啊 ! 
设 定好 就 立刻 生效 了 ， 不 需要 重新 局 动 任何 东西 啊 ! 











3. 建立 密码 档案 htpasswd (只 要 有 权限 即 可 执行 ) 


Apache 默认 读 取 的 账号 /密码 设 定数 据 是 由 htpasswd 所 建立 的 ， 这 个 指 
令 的 语法 
x 口 


是 这 样 的 : 

[root@www ~]# htpasswd [-cmdD] 密码 文件 文件 名 用 户 账号 
选项 与 参数 : 

-Cc : 建立 后 面 的 密码 档案 。 如 果 该 档案 已 经 存在 ， 则 原本 的 数据 会 被 删 





所 以 如 果 只 是 要 新 增 使 用 者 (档案 已 存在 时 )， 不 必 加 上 -c 的 参数 ! 
-m : 不 使 用 预 设 的 CRYPT 加 密 ， 改 用 MD5 方式 加 密 密 码 ! 

-d : 使 用 更 复杂 的 SHA 方式 来 加 密 ! 

D : 删除 掉 后 面 接 的 那个 使 用 者 账号 ! 


#1. 建 并 apache.passwd ， 账 号 为 test 


[root@www ~]# htpasswd -c /var/www/apache.passwd test 

New password: <== 这 里 输入 一 次 密码 ， 注 意 ， 屏 幕 不 会 有 任何 讯 县 。 
Re-type new password: <== 这 里 再 输入 一 次 

Adding password for user test 

[root@www ~]# cat /varwww/apache.passwd 

test:FIquw/..iS4yo <== 你 瞧 瞧 ! 已 经 建立 一 个 新 使 用 者 ! 
net.qiang@hotmail.com 


EZ x 
Ee http:192.169.1.100 要 求 输 入 帐号 及 密码 ， 该 筒 站 说: "Protect test by .htaccess" 


使 用 者 名 稳 : | test 
密码 : | 关 曙 人 关 估 | 


取消 





必 
# 2. 在 已 存在 的 apache.passwd 内 增加 testl 这 个 账号 : 
[root@www ~]# htpasswd /var/www/apache.passwd test1 


再 次 强调 ， 这 个 档案 档 名 需要 与 .htaccess 内 的 AuthUserFile 相同 ， 且 不 
要 放 在 浏 


览 器 可 以 浏览 到 的 目录 ! 。 这 样 就 算 设 定 完毕 啦 ! 你 可 以 使 用 浏览 器 在 
网 址 列 输入 : 


『http:/your.hostname/protect」 试看 看 ， 结 果 会 如 何 ? 会 像 底下 这 个 样 














图 20.3-4、 浏 览 到 受 保 护 的 目录 时 ， 浏 览 左 出 现 的 提示 窗口 示意 图 


如 果 你 曾经 浏览 过 这 个 目录 了 ， 当 时 可 能 尚未 制作 保护 的 档案 ， 或 者 是 
档案 设计 错 


误 ， 导 致 你 曾经 可 以 浏览 该 网 页 则 该 网 页 会 被 你 的 浏览 器 快 取 
(cache) 起 来 ， 所 以 


可 登入 的 画面 会 一 再 地 出 现 而 不 会 跑 出 需要 认证 的 对 话 窗口 。 此 时 你 应 


该 要 : 


务必 将 全 部 的 浏览 喜 都 天 团 ， 再 重新 启动 浏览 右 。 因 为 你 成 功 的 登入 


该 目录 
后 ， 该 次 登入 的 信息 会 快 取 在 这 次 的 联机 上 喔 ! 
可 以 将 浏览 喜 上 志 的 [reload (重新 读 取 )」 按 下 去 ， 让 浏览 器 重新 读 





次 ; 否则 快 取 不 会 更 新 。 

以 将 浏览 器 的 快 取 数 据 全 部 清除 ， 关 财 浏览 器 后 再 重新 启动 浏览 
如 果 还 是 一 直 出 问题 ， 那 就 只 好 前 往 登 录 档 (/var/log/httpd/error_log) 察 
看 错 

误 信 息 哆 。 和 常见 的 错误 只 是 打 错 字 啦 ! @_@ 

20.3.7 虚拟 主机 的 设 定 (重要 ! ) 


接 下 来 我 们 要 谈 的 是 『 主 机 代 管 」... 瞎 密 ? 不 是 啦 一 是 一 个 称 为 虚拟 主 
机 的 东西 


啦 一 这 东西 很 有 用 喔 ! 他 可 以 让 你 的 一 部 Apache 看 起 来 像 有 多 个 『 主 
站 首页 」 的 感觉 


啦 ! 





什么 是 虚拟 主机 (Virtual Host) 
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所 谓 的 虚拟 主机 ， 基 本 上 就 是 『 让 你 的 一 部 服务 器 上 面 ， 有 好 多 个 " 主 
网 页 " 存在 ， 


也 就 是 说 ， 便 件 实际 上 只 有 一 部 主机 ， 但 是 由 网 站 网 址 上 来 看 ， 则 似乎 
有 多 部 主机 存在 


的 样子 ! 」。 ， 举 个 例子 来 说 好 了 ， 鸟 哥 提供 的 网 站 主要 有 主要 学 习 网 
站 以 及 新 手 讨论 


区 ， 分 列 在 底下 的 连结 : 











讨论 区 : http://phorum.vbird.or 


这 两 个 连结 你 给 他 点 下 去 ， 会 及 现 其 实 是 不 同 的 资料 内 容 ， 不 过 ， 如 果 
你 用 dig 之 


类 的 软件 来 查验 IP 的话， 会 及 现 这 两 个 网 址 都 指向 同一 个 IP 八 ! 怎么 
会 这 样 ? 没 错 


啊 ! 这 就 是 虚拟 主机 的 主要 功能 ! 他 可 以 让 你 的 多 个 主机 名 对 应 到 不 同 
的 主 网 页 目录 


(DocumentRoot 参数 )， 所 以 看 起 来 会 像 有 多 部 实际 主机 的 模样 啦 ! 这 
样 说 ， 了 解 虚拟 


主机 了 吗 ? 








架设 的 大 前 提 : 同一 个 卫 有 多 个 主机 名 啦 ! 


那么 要 架设 虚拟 主机 需要 什么 噬 申 呢 ? 以 刚刚 鸟 哥 的 网 站 的 结果 为 例 ， 
我 必需 要 有 








多 个 主机 名 对 应 到 同一 个 IP 去 ， 所 以 说 ， 你 必需 先 拥 有 多 个 主机 名 才 
行 。 要 如 何 拥 


有 多 个 主机 名 ? 那 就 是 : 
向 ISP 申请 多 个 合法 的 主机 名 ， 而 不 自己 架设 DNS; 
自行 设 定 经 过 合法 授权 的 DNS 主机 来 设 定 自己 所 需要 的 主机 名 。 


相关 的 DNS 申请 与 设 定 技巧 我 们 在 前 几 音 都 谈 过 了 ， 你 可 得 自行 去 瞧 
瞧 先 ! 














一 个 架设 范例 练习 : 


我 们 在 第 十 九 章 DNS 里 面 不 是 有 设 定 了 多 个 主机 名 吗 ? 那些 主机 名 就 
是 为 了 要 


在 这 里 实 作 用 的 啦 ! 人 人 人! 你 得 要 注意 的 是 ， 我 的 每 个 主机 名 都 必需 要 
对 应 到 某 个 主 网 


页 目录 ， 底下 则 是 乌 哥 的 一 个 简单 范例 : 
主机 名 
对 应 的 主 目录 














linux.centos.vbird 
/var/www/html 
www.centos.vbird 
/Var/WWW/WWW 
ftp.centos.vbird 


/varftp ( 较 特 殊 ) 


接 下 来 驶 是 开始 设 定 哆 ! 要 告诉 你 的 是 ， 建 议 你 将 虚拟 主机 的 设 定 建立 
一 个 新 的 档案 在 


/etc/httpd/conf.d/*.conf 当中 ， 因 为 如 此 一 来 你 的 虚拟 主机 配置 文件 就 可 
以 进行 搬 
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移 ， 修改 的 时 候 也 不 会 影响 到 原 有 的 ”httpd.conf ”的 资料 ! 而 因为 
httpd.conf 内 有 


个 Include 的 参数 将 /etc/httpd/conf.d/*.conf 的 档案 都 读 入 配置 文件 当 
中 ， 所 以 


设 定 上 面 就 变 的 很 轻便， ”备份 与 升级 的 时 候 也 比较 容易 处 理 嘛 ! 不 哎 
唆 ， 赶 紧 来 实验 


= 

#1. 先 建立 所 需要 的 目录 : 

[root@www ~]# mkdir /vavwww/www <==www.centos.vbird 所 需 ! 
[root@www ~]# yum install vsftpd <==/varftp 可 由 系统 软件 提供 
[root@www ~]# echo "www.centos.vbird" > /Var/ www/www/index.html 


[root@www ~]# echo "ftp.centos.vbird" > /var/ftp/index.html 


# 原 有 的 首页 (var/www/html) 就 不 更 动 了 ! 男 建 两 个 不 同 的 首页 内 容 ， 
可 


供 测 试用 。 
# 2. 开始 编辑 配置 文件 ， 这 里 乌 哥 用 额外 的 档案 来 设 定 喔 ! 





[root@www ~]# vim /etc/httpd/conf.d/virtual.conf 


# 底下 这 一 行 在 规定 『 本 机 任何 接口 的 port 80 所 指定 的 虚拟 主机 」 的 总 


轩 


心 no 
NameVirtual Host *:80 


# 先 针对 两 个 多 出 来 的 可 浏览 目录 进行 权限 方面 的 规范 啊 ! 





<Directory /varwWW/ANWW > 
Options FollowSymLinks 
AllowOverride None 

Order allow,deny 

Allow from all 

</Directory> 

<Directory "/var/ftp"> 

Options FollowSymbLinks Indexes 
AllowOverride None 

Order allow,deny 

Allow from all 

</Directory> 

# 针对 三 部 主机 的 DocumentRoot 进行 定 ! 
<Virtual Host *:80> 

ServerName linux.centos.vbird 
DocumentRoot /var/www/html 


</Virtual Host> 


<Virtual Host *:80> 

ServerName www.centos.vbird 

DocumentRoot /varwwwWw/wwW 

CustomLog /var/log/httpd/www.access_log combined 
# 不 同 的 主页 可 以 指定 不 同 的 登录 文件 信息 ， 这 样 比较 好 debug 与 分 析 
啦 ! 
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</VirtualHost> 

<VirtualHost *:80> 

ServerName ftp.centos.vbird 

DocumentRoot /var/ftp 

</VirtualHost> 

[root@www ~|]# /etc/init.d/httpd restart 

你 要 注意 的 只 有 几 点 : 


1. 在 虚拟 主机 的 设 定 上 还 有 很 多 的 可 用 的 功能 ， 不 过 ， 节 低 的 限度 是 需 


要 有 














ServerName 及 DocumentRoot 这 两 个 即 可 ! 


2. 使 用 了 虚拟 主机 后 ， 原 本 的 主机 名 (linux.centos.vbird) 也 要 同时 写 入 


虚 
拟 主机 的 对 应 中 ， 否则 这 个 主机 名 可 能 会 不 知道 被 丢 到 哪里 去 喔 ! 


3. 在 www.centos.vbird 这 个 主机 当中 多 了 个 CustomLog ， 表 示 任 何 问 


和 多 


交 


www.centos.vbird 要 求 数据 的 记录 都 会 改写 入 
/var/log/httpd/www.access_log 而 不 是 预 设 的 /var/log/httpd/access_log。 


但 这 个 新 增 的 登录 档 必需 要 加 入 logrotate 的 管理 当中 才 行 嘿 ! 否则 登录 
档 会 








大 到 『 爆 表 ] 


只 要 你 客户 端的 浏览 器 可 以 找到 这 三 个 主机 名 并 联机 到 正确 的 
IP 去 ， 你 


这 个 Apache 就 可 以 同时 提供 三 个 网 站 的 站 址 了 ， 很 方便 吧 ! 和信。 


虚拟 主机 常见 用 途 
虚拟 主机 为 什么 会 这 么 热门 啊 ? 这 是 因为 他 可 以 进行 底下 的 任务 : 
主机 代 管 : 


如 果 你 有 一 部 很 快速 的 计算 机 ， 配 合 你 的 网 络 带宽 又 大 的 话 ， 那 么 你 可 

以 用 这 个 

『「 拉 客 」 喔 ! ”因为 毕竟 不 是 所 有 公司 都 有 维护 服务 
9 能力， 


J 2 流量 、 亲 和 的 数据 传输 接口 、 稳定 的 提供 服 


和 








一 口 


本 数据 库 的 文 持 ， 那 么 当然 有 可 能 进行 『 主 机 代 管 」 的 业 
啊 ! 你 


说 是 吧 ! 和 人 人 
服务 器 数据 备 援 系统 : 
你 可 以 在 两 个 地 方 放置 两 部 主机 ， 主 机 内 的 网 页 数据 是 一 模 一 样 的 (这 


个 可 以 使 


用 rsync 来 达成 的 ) ， 那 么 你 将 可 以 利用 Apache 的 虚拟 主机 功能 ， 配合 
DNS 


的 IP 指向 设 定 ， 让 茶 一 部 主机 挂 点 时 ， 男 外 一 部 主机 立刻 接管 WWW 
的 要 求 ! 让 


| 服务 器 不 会 有 任何 断 线 的 危机 啊 ! 和 人 人 ( 注 : 当 A 服务 器 挂 
扩 上 时， 赶 


紧 设 定 DNS ， 让 原本 A 的 IP 指定 给 B， 则 任何 向 该 IP 要 求 的 WWW 
将 会 被 


叶 同 B，B 有 人 A 的 备份 数据 以 及 虚拟 主机 设 定 ， 搞 定 ! ) 
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0 
将 目 己 的 资料 分 门 别 类 : 


如 果 野 心 没有 这 么 大 的 话 ， 那 么 如 果 你 有 几 个 不 同 的 数据 类 型 时 ， 也 可 
以 利用 虚 


ee 分 门 别 类 啦 ! 例如 将 部 落 格 指 向 blog.centos.vbird， 
将 


论 区 指 癌 forum.centos.vbird ， 将 教学 数据 指 问 teach.centos.vbird 等 等 ， 
这 样 的 网 址 就 很 容易 让 客户 端 了 解 啦 ! 你 说 是 吧 ! 人 和信 
20.4 登录 文件 分 析 以 及 PHP 强化 模块 


除了 这 些 基本 的 Apache 使 用 方式 之 外 ， 我 们 还 有 哪些 事情 可 以 玩 的 ? 
当然 还 有 很 


多 啦 ! 包括 有 趣 的 “PHP 效能 强化 模块 、 登 录 文 件 分 析 以 了 解 整个 
Apache 的 使 用 情况 


等 等 ! 让 我 们 来 瞧 一 瞧 ! 
20.4.1 PHP 强化 模块 (eaccelerator) 与 Apache 简易 效能 测试 


虽然 PHP 网 页 程序 标榜 的 是 速度 快速 ， 不 过 因为 PHP 毕竟 是 先 将 一 些 
可 用 函数 先 


编译 成 为 模块 ， 然 后 当 网 页 使 用 到 该 PHP 程序 的 时 候 ， 再 由 呼叫 PHP 
模块 来 达成 程序 


所 需要 的 行为 。 由 于 多 了 一 道 手 续 ， ”所 以 他 的 执行 效能 还 是 有 别 于 传 
统 编译 的 程序 语 


言 吃 。 
那么 如 宋 我 们 可 以 将 PHP 程序 预先 转换 成 为 可 直接 执行 的 binary file， 


不 束 可 
以 直接 读 取 进而 加 快速 度 吗 ? 没 错 ! 是 这 样 一 这 东西 称 为 预 纺 器 一 其 
中 有 一 套 软件 称 


为 eaccelerator，eaccelerator 可 以 将 你 的 PHP 程序 与 PHP 核心 及 相关 函 
式 库 预 先 


编译 后 暂 存 下 来 ， 以 提供 未 来 使 用 时 可 以 直接 执行 ， 加 上 他 可 以 优化 你 
的 PHP 程序 ， 


因此 ， 可 以 让 你 的 PHP 网 页 速度 增 快 不 少 喔 ! eaccelerator 的 官方 网 站 
在 底下 : 











http://eaccelerator.net/ 


整个 安装 的 流程 很 简单 啦 ! 你 先 将 这 个 软件 的 原始 码 下 载 下 来 ， 我 这 里 
假设 你 将 他 


下 载 到 /root 目录 下 ， 另外 你 必需 要 确定 你 有 安装 php-devel，autoconf， 








automake， 


m4，libtool 等 软件 才 行 ! 那 就 赶紧 来 安装 吧 ! ( 乌 哥 是 以 0.9.6.1 这 一 版 
为 范例 的 


嘱 ! ) 

# 工 . 解压 缩 文 件 案 ， 并 且 进 行 patch 的 动作 : 

[root@www ~]# cd /usr/local/src 

[root@www Src]# tar -jxvf /root/eaccelerator-0.9.6.1.tar.bz2 
[root@www srcl# cd eaccelerator-0.9.6.1/ 

# 2. 利用 phpize 进行 PHP 程序 的 预 处 理 
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[root@www eaccelerator-0.9.6.1]# phpize 

# 过 程 会 出 现 一 些 警 告 信息 ， 不 要 理 他 没关系 ! 
[root@www eaccelerator-0.9.6.1]# ./configure 
--enable-eaccelerator=shared \ 

> --with-php-config=/usr/bin/php-config 

[root@www eaccelerator-0.9.6.1]# make 

#3. 将 他 整个 安装 起 来 ! 

[rootfDwww eaccelerator-0.9.6.1]# make install 

# 此 时 这 个 新 编译 的 模块 会 被 放置 到 
/usr/lib64/php/modules/eaccelerator.so 当中 ! 

将 模块 处 理 完毕 之 后 接 下 来 就 是 要 让 PHP 使 用 这 个 模块 啦 ! 如 何 进 行 


呢 ? 

#1. 预先 加 载 这 个 PHP 的 模块 : 

[root@www ~]# echo "/usrlib64/php/modules/" >>\ 

> /etc/ld.so.conf.d/php.conf 

[root@www ~]# ldconfig 

# 关于 1d.so.conf 以 及 ldconfig 我 们 在 基础 篇 谈 过 了 ， 请 自行 参考 喔 ! 
#2. 修改 php.ini 喔 ! 

[root@www ~]# vim /etc/php.ini 

# 在 这 个 档案 的 最 底下 加 入 这 几 行 : 


pa 
; http://eaccelerator.net/ ; 


; 2011/08/08 VBird ; 


extension="eaccelerator.so" 
eaccelerator.shm_size="16" 
eaccelerator.cache_dir="/tmp/eaccelerator" 
eaccelerator.enable="1" 
eaccelerator.optimizer="1" 
eaccelerator.check_ mtime="1" 


eaccelerator.debug="0" 


eaccelerator.filter= 
eaccelerator.shm_ max="0O" 
eaccelerator.shm_ttl="0" 
eaccelerator.shm_prune_period="0" 
eaccelerator.shm_only="0" 
eaccelerator.compress="1" 
eaccelerator.compress_level="9" 
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€ SS | | htp:l92.168.1.100iphpinto.php -CI Gooale 







eAccelerator 


Caching Enabled 


Optimizer Enabled 
Check mtime Enabled 











# 3. 建立 eaccelerator 的 暂 存 数据 ， 重 点 在 于 权限 要 设 定 正确 ! 
[root@www ~]# mkdir /tmp/eaccelerator 


[root@www ~]# chmod 777 /tmp/eaccelerator 


[root@www ~|]# /etc/init.d/httpd restart 


基本 上 这 样 就 设 定 受 当 啦 ! 要 注意 的 是 : 『 因 为 你 的 eaccelerator 是 根 
据 目 前 这 一 版 


的 PHP 核心 所 编译 出 来 的 ， 所 以 未 来 如 果 你 的 Linux distribution 有 释 出 
新 版 的 


PHP 时 ， 你 也 顺利 更 新 到 新 版 的 PHP 了 ， 那 你 的 这 个 eaccelerator 就 必 
需要 自行 手 


动 再 更 新 一 次 ， 以 配合 到 正确 的 PHP 版 本 ， 否 则 这 个 模块 将 不 会 正确 
运作 。」! 很 重 


要 喔 ! 

那 如 何 确认 这 个 模块 有 正确 的 在 运作 呢 ? 你 可 以 利用 _20.2.4 小 节 谈 到 的 
phpinfo() 这 个 函 式 来 查阅 ， 透 过 浏览 器 你 应 该 会 看 到 如 下 的 画面 : 

图 20.4-1、 确 定 eaccelerator 有 运作 的 画面 


如 果 你 的 eaccelerator 没有 启动 的 话 ， 那 就 看 不 到 上 图 的 画面 啦 ! 藉 由 
这 个 动作 


来 测试 测试 吧 ! 人 和 人 人! 接 下 来 我 们 利用 Apache 提供 的 一 个 小 程序 来 测 
试 一 下 我 们 网 


站 的 效能 吧 ! 这 个 程序 叫做 ab ， 他 可 以 主动 的 网 主机 重复 要 求 多 笔 数 
据 来 确认 主机 


的 效能 喔 ! 
[root@www ~]# ab [-dSk] [-c number] [-n number] 网 页 档 名 
选项 与 参数 : 


-d : 不 要 显示 saved table 的 百分比 资料 ;通常 不 要 那个 数据 ， 所 以 会 加 
-d 




















-kk : 还 记得 上 面 的 KeepAlive 吧 ! 加 入 -k 才 会 以 这 样 的 功能 测试 ; 
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o 

-S : 不 显示 长 讯 上 号 ， 仅 显示 类 似 min/avg/max 的 简短 易 懂 讯 尽 ! 
-C: 同时 有 和 多少 个 『 同 时 联机 」 的 设 定 (可 想 成 同时 联机 的 IP) 

-n : 同一 个 联机 建立 几 个 要 求 通道 ! (可 想 成 同一 个 IP 要 求 的 几 条 联机 ) 
更 多 的 讯 姑 请 自行 man ab 喔 ! 

# 针对 我 们 刚刚 测试 时 的 phpinfo.php 这 个 档案 来 测试 ! 
[root@www ~]# ab -dSk -c100 -n100 http://localhost/phpinfo.php 

This is ApacheBench, Version 2.3 <$Revision: 655654 $> 

Copyright 1996 Adam Twiss, Zeus Technology Ltd, 
http:/www.zeustech.net/ 

Licensed to The Apache Software Foundation, http://www.apache.org/ 
… 中 间 省 略 …. 

Document Path: /phpinfo.php 

Document Length: 54204 bytes 

… 中 间 省 略 .… 

Total transferred: 5436100 bytes 

HTML transferred: 5420400 bytes 


Requests per second: 39.97 [#/sec| (mean) 


Time per request: 2501.731 [ms] (mean) 

Time per request: 25.017 [ms] (mean, across all concurrent 
requests) 

Transfer rate: 2122.01 [Kbytes/sec] received 

5 二 属 下 省 格 : 


根据 这 个 软件 的 输出 你 会 知道 每 秒 钟 的 传输 速率 、 最 大 传输 速度 等 等 ， 
可 以 约略 知道 一 


下 基本 效能 啦 ! ”不 过 马 哥 这 个 程序 是 在 自己 机 器 上 面 测试 的 ， 速 度 快 
征 正常 的 ! 你 可 








以 在 网 络 的 另 一 头 来 测试 一 下 说 ! ( 注 : 这 个 ab 程序 对 于 读 取 MySQL 
之 类 的 网 页 似 


乎 没有 办 法 成 功 的 完成 测试 的 样子 ， 你 应 该 以 较 单 纯 的 网 页 来 测试 
吧 ! ) 


20.4.2 syslog 与 logrotate 

请 特别 注意 ， 我 们 的 Apache 登录 文件 主要 记录 两 个 东西 ， 分 别 是 : 
/Var/log/httpd/access_log : 用 户 端 正常 要 求 的 记录 信息 
/var/log/httpd/error_log : 用 户 错 误 要 求 的 数据 ， 包 括 服务 器 设 定 错误 

的 信息 等 。 


那个 /var/log/httpd/error_log 可 以 让 你 处 理 很 多 设 定 错误 的 情况 ， 包 括 网 
页 找 








不 到 、 档案 权限 设 定 错误 、 密 码 档案 文件 名 填 错 等 等 。 至 于 access_log 
则 可 以 让 你 


分 析 那 个 网 页 最 热门 ! 和 人 人! 不 过 你 可 得 注意 的 是 : 


[在 稍 有 规模 的 网 站 下 ，Apache 的 
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登录 文件 每 周记 录 量 甚至 可 达 1GB 以 上 」 的 纪录 。 以 乌 哥 的 主 网 站 来 


说 ， 一 个 星期 逼 
近 1GB 的 登录 档 是 合理 的 … 


不 过 ， 因 为 登录 文件 是 纯 文本 信息 ， 所 以 如 果 能 够 给 予 压缩 的 话 ， 那 么 
备份 下 来 的 


登录 档 将 可 以 减少 到 数 十 MB 而 已 ， 这 样 可 大 大 的 减少 了 磁盘 空间 的 
浪费 啊 ! 如 果 你 是 


使 用 预 设 的 Apache 来 处 理 你 的 服务 器 时 ， ”那么 系统 已 经 作 了 一 个 
logrotate 给 你 使 


用 了 ， 如 果 你 是 使 用 Tarball 目 己 安装 的 ， 那么 .你 就 得 要 目 行 手 动 建 
ER 


档案 啦 ! 鸟 哥 底下 是 以 CentOS 6.x 提供 的 档案 来 作 说 明 的 : 











[root@www ~]# vim /etc/logrotate.d/httpd 
/var/log/httpd/*log { 

missingok 

notifempty 


compress <== 建 议 加 上 这 一 段 ， 让 你 的 备份 登录 档 可 以 被 压缩 


Sharedscripts 

delaycompress 

postrotate 

/sbin/service httpd reload > /dev/null 2>/dev/null || true 
endscript 

} 


为 什么 这 里 很 重要 呢 ? 鸟 哥 的 服务 器 曾经 发 生 过 一 件 事情 ， 就 是 .… 突 然 
WWW 效能 变 


很 差 ! ”后 来 追踪 的 原因 竟然 是 ..，/vav 的 容量 被 用 完了 ! 而 耗 掉 这 个 
partition 的 


元 凶 葛 然 是 Apache 的 登录 档 ! 当时 /var 仅 给 5GB ， 而 每 个 星期 的 登 
录 档 就 上 达 


1GB 以 上 ， 备 份 四 个 星期 的 结果 ， /var/ 想 不 爆 掉 也 很 难 ~~ 所 以 啦 ， 建 


议 你 的 /var 要 


给 个 10GB 以 上 才 好 响 ! 而 且 备 份 登录 档 也 要 压缩 才 好 响 ! 











Tips: 

关于 syslog 与 logrotate 的 详细 说 明 请 参考 基础 篇 的 内 容 喔 ! 
或 

者 是 到 底下 的 连结 : 

http:/linux.vbird.org/linux basic/0570syslog.php 


此 外 ， 透 过 分 析 登 录 档 其 实 我 们 可 以 知道 我 们 的 网 站 到 撒 是 哪 一 个 网 页 
最 热门 ? 也 且 也 





能 知道 客户 痢 是 来 自 哪 里 呢 ! 目前 针对 Apache 有 很 多 的 分 析 软 件 ， 我 
们 底下 仅 介 绍 两 


个 常见 的 分 析 软 件 给 大 家 吻 ! 
20.4.3 登录 文件 分 析 软 件 : webalizer 
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事实 上 ，CentOS 6.x 默认 就 提供 了 webalizer 这 个 分 析 软 件 了 ! 你 只 要 
将 这 套 软 


件 安 逆 上 来 束 是 了 。 如 果 你 不 是 使 用 CentOS 呢 ? 没关系 ， 官 方 网 站 上 
也 可 以 下 载 ， 


安装 也 很 简单 ! 
站 :， http://www.mrunix.net/webalizer/ 
设 定 难度 : 简单 ， 极 适合 新 手 架设 


是 大 致 上 ， 所 有 分 析 的 内 容 他 都 有 了 1! 虽然 图 表 比 较 没有 那 
么 炫 .… 





授权 模式 : GPL 


CentOS 6.x 提供 的 这 个 软件 配置 文件 在 /etc/webalizer.conf ， 而 且 他 设 定 
每 天 


了 WWW 的 登录 档 ， 不 过 这 个 软件 默认 会 将 输出 的 结果 放置 
到 





/Var/www/usage ， 并 且 这 个 目录 仅 有 本 机 可 以 查阅 ， 乌 哥 并 不 喜欢 这 样 
的 设 定 。 我 们 


刚刚 不 是 有 建立 一 个 保护 目录 /varwww/html/protect 吗 ? 这 个 目录 的 功 
能 来 啦 ! 乌 


可 预计 将 webalizer 的 输出 数据 放置 到 /var/www/html/protect/webalizer 


展 下 去 3 

所 以 知道 密码 的 都 能 够 查阅 呢 ! 整个 动作 是 这 样 的 : 

#1. 多 处 理 配置 文件 ， 变 更 指定 一 下 我 们 要 输出 的 目录 即 可 : 
[root@www ~l]# vim /etc/webalizer.conf 


# 确定 一 下 底下 这 几 行 是 正确 的 ! 其 他 的 则 保留 默认 值 





LogFile /var/log/httpd/access_log <== 约 在 28 行 
OutputDir /var/www/html/protect/webalizer <== 约 在 42 行 
Incremental yes <== 约 在 67 行 


# 2. 建立 该 保护 目录 的 数据 : 





[root@www ~]# cp -a /Var/www/usage/ /var/ www/html/protect/webalizer 
[root@www ~]# /etc/init.d/httpd restart 

#3. 开始 测试 执行 webalizer 的 分 析 工 作 

[root@www ~]# webalizer 


现在 请 你 在 浏览 器 上 面 输入 : ”http://your.hostname/protect/webalizer ， 看 
看 输出 


的 结果 是 如 何 吧 ! 结果 应 该 会 如 下 所 示 : 
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Y) Usage Statistics for www .centos.vbird - Summary by Month = Mozilla Firetox 
档案 国 编辑 加 梳 视 外 历史 四 书签 全 工具 避 说 明 人 0 


| htp 上 92.168.1.100jprotectywebalizett wi 


Usage Statistics for www.centos.vbird 








Summary by Month 
Generated 08-Aug-2011 14:43 CST 


Usage sunnary for wuw.centos.vbird 


§ 


Psses /Files /Hits 
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| | Summary by Month 
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| IST IE | 
017 
| 5436[ 8[ 120[ 116[ 127 















Generated by Webalizer Version 2.21 





图 20.4-2、webalizer 分 析 工 具 所 得 的 分 析 画 面 


ee 1 处 你 还 可 以 点 选 喔 ， 点 选 后 会 告知 你 当月 的 各 项 分 
结果 ， 


很 不 错 吧 ! 


20.4.4 登录 文件 分 析 软 件 : awstats 


除了 webalizer 之 外 ， 我 们 其 实 还 可 以 透 过 awstats 这 个 历 害 到 不 行 的 
perl 的 


程序 来 进行 数据 分 析 ， 由 于 这 个 软件 是 以 pen 来 执行 的 ， 太 以 语 确 定 


你 的 mod perl 


己 经 安装 有 日 CGI 的 执行 权限 已 经 启动 了 ! 这 个 软件 的 特色 是 : 
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官方 软件 : http://awstats.sourceforge.net/#DOWNLOAD 
设 定 难度 : 较 难 ， 需 要 有 点 技巧 ! 


WA i 
j 器 ! 


授权 模式 : GPL 


We 
以 CGI 也 


方式 来 实时 更 新 登录 档 响 ! ”真是 历 害 历 害 ! 乌 哥 个 人 是 比较 不 豆 欢 使 
用 浏览 需 来 在 线 


更 新 分 析 的 结果 ， 因为 在 你 更 新 分 析 结 果 时 ， 怎 么 知道 系统 会 不 会 很 
忙碌 ?如 果 系 统 


正在 忙碌 中 ， ” 这 套 软 件 的 分 析 可 也 是 很 耗费 系统 资源 的 响 ! 所 以 建议 
直接 以 crontab 


的 方式 来 处 理 即 可 。 


目前 官方 网 站 不 但 提供 tarball 甚至 也 提供 RPM 来 给 使 用 者 下 载 了 ! 真 
古方 便 啊 ! 




















但 是 你 还 是 要 注意 的 ， 这 个 软件 曾经 因为 安全 性 的 问题 导致 很 多 网 站 的 
挂 点 ， 所 以 建 


议 你 偿 古 把 这 个 软件 的 输出 结果 放置 在 受 保 护 的 目录 中 喔 ! 底下 马 哥 以 
7.0-1 这 1 


RPM 版 本 来 说 明 ， 请 你 自行 到 官方 网 站 下 载 吧 ! ( 注 : 档 名 为 











awstats-7.0-1.noarch.rpm ) 


假设 你 将 这 个 RPM 档案 放置 到 /root 当中 ， 那 么 自己 rpm -ivh filename 
2 


装 他 吧 ! 不 要 跟 我 说 你 不 会 RPM 一 鸟 哥 是 会 昏倒 的 一 @_@! 由 于 这 
个 RPM 档案 将 


awstats 的 数据 通通 放置 到 /usr/local/awstats 当中 去 了 ! 为 了 自己 网 页 设 
定 上 的 


方便 ， 建 议 你 是 可 以 这 样 做 的 : 

#1. 先 安 装 后 再 将 awstats 提供 的 Apache 设 定数 据 给 他 复制 到 conf.d 下 
[root@www ~]# rpm -ivh awstats-7.0-1.noarch.rpm 

[root@www ~]# cp /usr/local/awstats/tools/httpd_conf \ 

> /etc/httpd/conf.d/awstats.conf 

[root@www ~]# vim /etc/httpd/conf.d/awstats.conf 

Alias /awstatsclasses "/usr/local/awstats/wwwroot/classes/" 

Alias /awstatscss "/usr/local/awstats/Wwwroot/css/" 

Alias /awstatsicons "/usr/local/awstats/Wwwwroot/icon/" 


Alias /awstats/ "/usr/local/awstats/wwwroot/cgi-bin/" 


<Directory "/usr/local/awstats/wwwroot"> 

Options +ExecCGI 

AllowOverride AuthConfig <== 这 里 改 成 这 样 ， 因 为 要 保护 ! 
Order allow,deny 

Allow from all 

</Directory> 

[root@www ~]# /etc/init.d/httpd restart 


awstats 还 真 的 挺 贴心 的 ， 因 为 他 释 出 的 文件 当中 就 有 关于 Apache 的 设 
定数 据 ， 我 们 


直接 将 他 放 到 conf.d/ 那个 目录 下 并 且 更 名 后 ， 重 新 启动 Apache 束 生 效 
了 ! 真 方便 。 


再 来 则 是 要 针对 我 们 的 ” WWW 登录 档 来 设 定 啦 ! 配置 文件 其 实 是 在 
/etc/awstats 目录 


下 ， 在 该 目录 下 有 个 范例 文件 为 awstats.model.conf， 其 实 这 个 配置 文件 
『 档 名 」 格 


式 为 : 
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awstats. 主 机 名 .conf 


因为 乌 哥 这 部 主机 名 为 www.centos.vbird， 所 以 假设 主机 名 为 www， 所 
以 档 名 就 


应 该 是 awstats.www.conf 哆 ! 请 你 将 他 复制 一 个 新 档 ， 然 后 这 样 做 : 


[root@www ~]# cd /etc/awstats 


[root@www awstats]# cp awstats.model.conf awstats.wWww.conf 
[root@www awstats]# vim awstats.www.contf 

# 找到 底下 这 几 行 ， 并 且 修 改 一 下 内 容 啊 : 
LogFile="/var/log/httpd/access_log" <== 51 行 : 确定 登录 文件 所 在 的 位 
和 

LogType=W <== 63 行 : 针对 WWW 的 登录 档 分 

析 


LogFormat=1 <==122 行 : Apache 的 登录 档 格 式 





SiteDomain="www.centos.vbird" <==153 行 : 主机 的 hostname 
HostAliases="localhost 127.0.0.1 REGEX[centos\.vbird$]" 
DirCgi="/awstats" <==212 行 : 能 够 执行 awstats 的 

Bs 

DirIcons="/awstatsicons" <==222 行 : awstats 一 些小 图 标的 

目录 

AllowToUpdateStatsFromBrowser=0 <==239 行 : 不 要 利用 浏览 器 来 更 
新 ! 

Lang="tw" <==905 行 : 重要 ! 这 是 语系 ! 

接着 开始 测试 一 下 是 否 可 以 产生 正确 的 分 析 资 料 出 来 ? 








[root@www awstats]# cd /usr/local/awstats/wwwroot/cgi-bin 


[root@www cgi-bin]# perl awstats.pl -config=www -update \ 


> -output > index.html 

# 那个 -config 后 面 接 的 就 是 awstats.www.conf 的 意思 ! 会 产生 
index.html 

[root@www cgi-bin]# ls -| 

awstats082011.www.txt <== 刚 刚才 建立 的 重要 数据 文件 ! 
awstats.pl <== 就 是 刚刚 我 们 下 达 的 执行 档 ! 

index.html <== 重 要 输出 首页 档案 


接 下 来 让 我 们 赶紧 来 建立 保护 目录 的 .htaccess 档案 吧 ! 请 注意 ， 乌 哥 这 
里 假设 你 已 


经 有 密码 文件 了 ， 所 以 直接 建立 档案 即 可 啊 ! 





[root@www ~]# cd /usr/local/awstats/wwwroot 
[root@www wwwrootl# vi .htaccess 
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]) 入 秆 镜 站 www_centos.vbird (2011-08) - main - Mozilla FirefoZ 





档案 四 ” 编 回 加 检视 中 历史 他 书签 全 工具 外 诸 明 四 


名 SO [hteW92.168.1.100/wstaty 全 "|Cc 


















统计 钢 站 : Www,centos.Ybird 
是 近 更 新 : 2011 年 8 月 08 日 14:51 
撤去 日 期 外 一 辐 [201 辐 | ok 和 


按 佑 钢 时 间 |: 2 月 星期 类 每 小 时 
控 艰 宁 者 : 3 月 主机 “全 部 列 出 ”是 近 参 鲍 日 期 ”无 法 反 解 潜 的 IP 位 址 ” 搜 肝 | 等 网 站 
4 月 星 ” 最近 全 钢 日 期 
泣 噬 器 统计 : 5 月 栓 案 烦 别 Downloads 全 部 有 51 出” 存 职 次 数 。 全 部 列 出 ”入 站 丰 
统 版 本 、” 骸 法 得 知 澳 吃 器 、 版 本 舌 法 得 知 
参考 可 山 : 6 月 搜 寺 引擎 畏 介 ”由 那些 其 他 网 站 莫 介 “搜寻 ”用 以 搜寻 的 骨 健 字句 用 


其 他 : 找 不 到 的 网 页 


报表 日 期 月 份 8 月 20| 11 月 
首 奖 登 观 日 期 ” 2011 年 8 月 12 上 月 
最 近 登 观 日 期 ”2011 年 8 月 - 年 f 


3 3 115 118 5.30 MB 
普通 流量 * (1 估 舍 次数 /从 钢 (38,33 移 页 数 / 参 (39,33 贴 峻 数 / 学 (1607,84 KB/ 营 
者 ) 斤 次 数 ) 斤 次 数 ) 握 次 就 ) 
看 不 到 "的 流星 * 10 12 17.45 KB 总 
1| | »| 路 





AuthName "Protect awstats data" 
Authtype Basic 
AuthUserFile /var/www/apache.passwd 


require valid-user 


之 后 ， 只 要 你 输入 『http:/Vyour.IP/awstats/」 ， 就 能 够 看 到 输出 的 图 表 
了 ! 图 表 有 


图 20.4-3、awstats 分 析 工 具 所 得 的 分 析 画 面 


事实 上 ， 数 据 非常 的 多 ， 你 可 以 自行 查阅 输出 的 结果 。 在 上 图 当中 的 箭 
头 处 ， 你 还 


可 以 自己 选择 曾 有 的 月 份 数据 来 进行 显示 ! 最后， 将 分 析 的 动作 规定 
在 每 天 三 点 的 时 


候 跑 ， 你 可 以 这 样 做 : 

[root@www ~ 1# vim /usr/local/lawstats/wwwroot/cgi-bin/awstats.sh 

cd /usr/local/awstats/wwwroot/cgi-bin 

perl awstats.pl -config=www -update -output > index.html 

[root@www ~I# chmod 755 /usr/local/lawstats/wwwroot/cgi-bin/awstats.sh 
[root@www ~]# vim /etc/crontab 


0 3*** root /usr/local/awstats/wwwroot/cgi-bin/awstats.sh 
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0 
6 


这 样 你 就 知道 你 的 主机 到 底 有 多 受 欢迎 跑 ! 和 人 人! 另外， 再 次 干 万 拜 
邱 1 这 个 软件 扩 在 


的 目录 务必 要 制作 密码 保护 ! 不 要 随意 释放 出 来 ! ”甚至 上 面 提供 的 一 
些 目 录 的 链接 你 


都 可 以 根据 自己 的 主机 与 喜好 来 重新 修改 ， 会 比较 安全 的 啦 ! 
20.5 建立 联机 加 密 网 站 (https) 及 防 砍 站 脚本 


从 本 章 一 开始 的 20.1 就 谈 过 http 这 个 通讯 协议 是 明码 传送 数据 ， 而 那 
个 https 


才 是 加 密 传输 的 ! 那加 密 的 方法 是 透 过 SSL 啊 ， 这 个 SSL 就 是 以 
openssl 软件 来 提 


供 的 一 个 加 密 函 式 库 。 更 多 与 https 有 关 的 信息 ， 请 参考 20.1.4 吧 ! 
20.5.1 SSL 所 需 软 件 与 任 证 档案 及 默认 的 https 


要 达成 让 apache 支持 https 协议 的 话 ， 你 必须 要 有 mod_ssl 这 个 软件 才 
行 ! 请 














先 自行 使 用 yum 去 装 好 这 个 软件 吧 ! 并 且 重 新 启动 httpd 喔 ! 同时 ， 我 
们 的 CentOS 


6.x 也 已 经 预 设 提供 了 SSL 机制 所 需要 的 私 钥 与 凭证 档案 哆 ! 相关 软件 
提供 的 档案 如 


下 


/etc/httpd/conf.d/ssl.conf: mode_ssl 提供 的 Apache 配置 文件 ; 


/etc/pki/tls/private/localhost.key: 系统 私 钥 文 件 ， 可 以 用 来 制作 凭证 
的 ! 

/etc/pki/tls/certs/localhost.crt: 就 是 加 密 过 的 凭证 档 ! (signed 
certificate) 


既然 系统 都 已 经 帮 我 们 搞定 了 ， 那 么 就 让 我 们 直接 来 浏览 一 下 ， 看 看 系 
统 默 认 提 供 


的 https 是 长 的 什么 模样 吧 ! 打开 你 的 浏览 器 ， 输 入 https:// 你 的 IP 来 联 
机 看 看 : 
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引 不 受信 任 的 韦 糠 - Mozilla Firefox x| 
pe 篇 袁 区 ) ”检视 (7) BD _ 检视 (县 史 他 书 狂人 工具 人 DD ”说明 


a [ice] ej 


送 个 壳 各 示 受信 任 
您 要 求 Fiefox 和 192.168.1.100 建立 安全 过 和 ， 但 是 我 们 乱 法 克 踊 目前 的 连 弥 是 安全 的 。 


一 般 来 瑟 ， 省 您 建立 安全 违 勿 时 ， 网 站 会 提供 身分 激 别 以 十 明 燃 圳 到 了 正确 的 地 方 * 但 此 
阐 站 的 身分 无 法 被 及 读 。 


我 该 怎 度 办 ? 
若 苑 平常 不 会 过 到 过 个 问题 ， 此 钳 识 识 记 代表 有 人 正 试 苦 假冒 该 痫 站， 您 不 该 效法 浏 喇 * 


带 我 侠 开 这 里 ! | 


， 技术 糊 节 i ! 


7 我 了 解 此 安全 风险 


加 果 和 您 知道 高 何 轼 澡 :， 您 可 以 谴 Fietox 改 信任 此 身分 汶 别 咨讯 ”即便 您 信任 此 狗 站 : 此 
敌 效 依然 代表 有 人 正 武 著 和 假冒 或 狗 站 * 


除非 和 您 有 理由 确定 此 秽 站 身分 识别 资讯 治 有 了 问题， 否则 切 勿 新 增 例外 镜 站 * 
新 增 说 外 网 站 二 | < < 了 











图 20.5-1、 在 firefox 底下 看 到 的 SSL 安全 问题 图 示 


束 如 同 本 章 20.1.4 谈 到 的 ， 因 为 我 们 这 个 Apache 网 站 并 没有 将 此 和 凭证 
向 CA 注 


册 ， 因 此 就 会 出 现 上 述 的 讯 上 号 了 ! 这 就 类 似 ssh 联机 时 ， 系 统 需要 你 输 
入 『yes j 


是 一 样 的 啦 ! 要 接受 凭证 后 才能 够 进行 加 密 的 功能 。 所 以 ， 请 点 选 上 图 
中 的 箭头 |， ne 


时 就 会 延伸 出 箭头 2 的 位 置 ， 按 下 去 吧 ! 然后 束 会 出 现 如 下 所 示 : 
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新 塌 安 全 说 着 x| 
您 正 试图 哥 甘 Firefox 要 如 何 识别 此 阐 站 的 设 定 * 
，“ 备注 意 ， 合 法 的 报 行 、 商 店 或 其 他 公园 薪 站 不 会 要 求 您 运 座 做 ! 
人 
-伺服 器 
位 址 : 92.168.1.100 











-于 座 状 态 
此 条 站 党 试用 瓜 效 的 资讯 识别 自己 。 检视 (DD)… 
箱 性 的 拉 站 

遥 改 属 论 不 同 的 网 站 ' 均 粒 站 的 身分 可 能 已 被 盗用 * 

未 知 身分 


汤 座 未 受信 任 ， 因 这 尚 未 被 认得 的 源 证 楼 构 验 证 > 3 











JY 永久 储存 此 例外 钙 





_ 确 亡 安 全 例外 (C) | {C) 





图 20.5-2、 在 firefox 底下 接受 一 把 私有 的 凭证 万 需要 的 流程 


如 果 你 确定 这 个 网 站 是 你 自己 的 可 信任 网 站 ， 那 就 按 下 1 及 2 的 箭头 
处 ! 如 果 还 


想 要 看 一 下 这 个 网 站 所 提供 的 相关 凭证 内 容 ， 就 按 下 3 箭头 的 地 方 : 
net.qiang@hotmail.com 


和 要 心术 入 器 :"www_.centos.vbird" x| 
三 接合 | 组 亨 中 | 
短 法 验 嬉 此 恶 填 ， 因 癌 亚 车 登 行者 未 被 信 寿 * 


签 登 输 

一 般 名 稳 (CN) www.centos.vbird 

组 猴 (0) SomeOrganization 

组 积 单 位 (OU) SomeOrganizationalUnit 

序号 04:62 1 


签发 者 

一 般 名 称 CN) www .centos.vbird 

组 全 (0) SomeOrganization 

组 名 单位 iOU) SomeOrganizationalUnit 


有 效 2 
签发 日 2011828 Pt 

到 期 日 2012887 

指 近 


SHA1 指 笋 2222E:B3.67 昌 1:F6:6a46:BC:E8:39:E8:1E:22D24E:DF0:230:3F9D 
MD5 指 答 OTFA:1D:1S5:AB:FS:44:F3:01:ES:7F:E3:80:87:31:04 








名 
图 20.5-3、 在 firefox 底下 观察 插 证 的 详细 和 内容 


ER 一 次 月 动 Linux 时 就 安装 好 了 和 凭证 档 ， 
而 


CentOS 6.x 底下 ， 预 设 的 凭证 有 效 期 限 为 1 年 ， 所 以 你 就 会 看 到 上 图 中 
箭头 2 所 指 


的 ， 签 发 日 到 到 期 日 共有 一 年 啊 ! 当 你 按 下 关闭 后 ， 惑 能够 看 到 实际 的 
https:// 提供 


的 网 站 内 容 嘿 ! 这 就 是 预 设 的 SSL 网 站 啦 ! 你 的 重要 信息 可 以 放 在 这 
里 一 让 数据 在 网 


络 上 传输 更 佳 的 安全 ! 


20.5.2 拥有 自制 凭证 的 https 


建立 凭证 档 


预 设 的 凭证 虽然 已 经 可 以 让 你 顺利 的 使 用 https 了 ， 不 过 ， 和 凭证 的 有 效 
日 仅 有 1 


年 而 已 一 实在 讨厌 一 所以， 我 们 还 是 得 要 上 自制 凭证 才 行 一 这 个 凭证 的 
制作 仅 是 私有 


WWW 网 站 的 用 途 ， 并 没有 要 拿 去 CA 注册 喔 ! 那么 自制 凭证 需要 什 
步骤 呢 ? 基本 上 


么 
需要 的 流程 是 : 

1. 先 建立 一 把 private key 预备 提供 给 SSL 凭证 签 章 要求 所 用 ; 
2. 最 后 建立 SSL 凭证 (test certificates)。 


那么 建 并 凭证 有 没有 很 困难 呢 ? 没 有 啦 ! 因为 CentOS 6.x 已 经 帮 我 们 写 
vs 


Makefile 了 ! 你 先 到 /etc/pki/tls/certs 这 个 目录 下 ， 然 后 直接 输入 make 
这 个 指 
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令 ， 就 能 够 看 到 所 有 可 行 的 目标 动作 ! 我 们 就 可 以 很 快速 的 建 置 好 凭证 
喔 ! 不 过 ， 因 


为 预 设 的 私 钥 文 件 需要 加 上 密码 才能 够 进行 建立 ， 所 以 我 们 还 得 要 额外 
进行 一 下 动作 束 


是 了 。 好 ! 现在 假设 我 们 要 建立 的 是 名 为 vbird 的 凭证 ! 那么 底下 流程 
中 ， 所 有 的 关 


键 词 就 是 vbird! 简单 流程 如 下 所 示 : 











#1. 先 到 /etc/pki/tls/certs 去 建立 一 把 给 Apache 使 用 的 私 钥 档案 : 
[root@www ~]# cd /etc/pki/tls/certs 

[root@www certs]# make vbird.key 

umask 77 ; /usr/bin/openss] genrsa -aes128 2048 > vbird.key <== 其 实 
是 这 个 指令 

Generating RSA private key, 2048 bit long modulus 


eis 65537 (0x10001) 


Enter pass phrase: <== 这 里 输入 这 把 私 钥 的 密码 ， 需 要 多 于 四 个 字符 ! 





Verifying - Enter pass phrase: <== 再 一 次 ! 
# 2. 将 刚刚 建立 的 档案 中 ， 里 面 的 密码 取消 掉 ! 不 要 有 和 密码 存在 啦 ! 





[root@www certs]# mv vbird.key vbird.key.raw 

[root@www certs]# openssl rsa -in vbird.key.raw -out vbird.key 
Enter pass phrase for vbird.key.raw: <== 输 入 刚刚 的 密码 啦 ! 

writing RSA key 

[root@www certs]# rm -f vbird.key.raw <== 旧 的 密 钥 档 移 除 
[root@www certs]# chmod 400 vbird.key <== 权 限 一 定 是 400 才 行 ! 
#3. 建 置 所 需要 的 最 终 途 证 档 ! 


[root@www certs|# make vbird.crt SERIAL=2011080801 


umask 77 ; /usr/bin/openssl req -utf8 -new -key vbird.key -x509 -days 
365 

-out vbird.crt -set_serial 2011080801 <== 可 以 加 入 日 期 序号 

You are about to be asked to enter information that will be incorporated 
into your certificate request. 

Country Name (2 letter code) [XX]:TW 

State or Province Name (full name) []:Taiwan 

Locality Name (eg, city) [Default City]:Tainan 

Organization Name (eg, company) [Default Company Ltd]:KSU 
Organizational Unit Name (eg, section) []:DIC 

Common Name (eg, your name or your server's hostname) 
[|:www.centos.vbird 

Email Address [j:vbird@Dwww.centos.vbird 

[root@www certs|# 有 vbird* 
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-TW------- . 1 root root 1419 2011-08-08 15:24 vbird.crt <== 最 终 赁 证 


档 ! 
.1root root 1679 2011-08-08 15:22 vbird.key <== 系 统 私 铀 
文件 


这 样 就 建立 好 凭证 档 了 ! 接 下 来 就 是 得 要 去 处 理 ssl.conf 这 个 设 定 内 容 
喔 ! 另外 ， 这 


把 凭证 依旧 只 能 使 用 1 年 ! 如 果 你 想 要 建立 十 年 的 凭证 ， 那 就 得 要 修改 
一 下 Makefile 


里 面 的 内 容 ， 将 365 改 成 3650 即 可 ! 








Tips: 

如 果 你 曾经 多 次 重复 进行 上 述 的 建立 凭证 动作 ， 会 及 现 到 同一 个 和 任 
证 内 容 硝 制作 多 次 ， 则 最 终 客 户 端 浏览 器 会 出 现 一 些 错误 讯 忌 ， 导 
致 无 法 联机 ! 因此 ， 建 议 多 加 一 个 序号 (SERIAL) 的 参数 ， 可 以 修 


订 这 个 错误 喔 ! 


修改 ssl.conf 的 内 容 ， 使 用 自制 凭证 


修改 ssl.conf 的 内 容 也 是 很 简单 ! 只 要 修改 两 个 地 方 ， 亦 即 是 档案 档 名 
的 地 方 即 


可 ! 





[root@www ~]# vim /etc/httpd/conf.d/ssl.conf 
SSLCertificateFile /etc/pki/tls/certs/vbird.crt <== 约 在 105 行 


SSLCertificateKeyFile /etc/pki/tls/certs/vbird.key <== 约 在 112 行 


[root@www ~]# /etc/init.d/httpd restart 


然后 再 以 浏览 器 去 浏览 https:// 的 网 址 ， 就 能 够 查阅 到 刚刚 建立 的 凭证 
数据 。 不 过 ， 


因为 我 们 之 前 已 经 有 浏览 过 预 设 的 赁 证， 所 以 网 页 以 及 凭证 都 有 被 快 
取 过 ! 因此 ， 你 


可 能 得 需要 到 浏览 器 的 隐私 保护 的 地 方 ， 将 记录 的 凭证 删除 ， 并 且 将 网 
页 快 取 删除 ， 这 


样 才 能 够 看 到 最 终 如 下 的 正确 凭证 数据 咀 ! 
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和 要 心 检视 器 :"www_.centos.Ybird" x| 
EE 入 |i | 
特 法 验 虱 此 亚 恤 ， 央 区 悉 恤 改行 者 未 被 信 芷 





签 登 输 
一 般 名 夭 (CH) www .centos.wbird 
钥 猴 旧 D) KST 


租 傣 单位 (OW DIC Ts 
序 路 TT7:DE:A8:61 


签 登 者 

一 般 名 夭 (CH) www .centos.vbird 
和 钥 多 旧 ) KSU 

组 猴 单 位 \DU) DIC 

有 效 

签 瑟 日 2011:8;8 


到 期 日 2012/87 


指 近 
SHA1 指 敏 35:96:38:86:69:D4:2E:DC:B6:D8:13:AE:CF:05:11:50:6E:B0:32:B1 
MD5 指 签 2F:01:C1:49:8C:78:5B:08:F8:F?:3D:A8:E7:6&2:09:4B 


图 20.5-4、 检 查 赁 证 的 详细 内 容 ! 
20.5.3 将 加 密 首 页 与 非 加 密 首 页 分 离 


或 许 你 已 经 发 现 一 个 无 保 头 的 地 方 ， 就 是 我 的 htp:/ 以 及 https:/ 首页 是 








模 一 样 的 咏 ! 那么 我 的 读者 干 嘛 没事 找事 干 ， 肯定 不 会 使 用 https 的 
呆 ! 那 怎 办 ? 怎 


么 强制 使 用 者 使 用 https:// 来 查阅 我 的 重要 数据 ? 很 简单 啊 ! 透 过 虚拟 
主机 就 好 了 


啊 ! 因为 SSL 模块 也 是 默认 提供 了 这 个 功能 的 呆 ! 修改 会 不 会 很 及 烦 
呢 ? 不 会 啦 ! 你 


只 要 将 http 及 https 的 首页 分 离 即 可 ! 我 们 这 么 假设 好 了 : 
一 般 明 码 传输 的 网 页 首页 不 要 变更 ; 
https:// 的 首页 放置 到 /var/www/https/ 目录 下 。 


所 以 我 们 得 先 要 设 定 /varwwwy/https 目录 才 行 ! 然后 ， 只 要 修改 ssl.conf 
档案 


内 容 即 可 ! 整个 过 程 可 以 这 样 处 理 : 
# 工 . 处 理 目 录 与 默认 的 首页 index.html 档案 : 





[root@www ~]# mkdir /var/www/https 

[root@www ~]# echo "This is https home" > /var/ www/https/index.html 
#2. 开始 处 理 ssl.conf 的 内 容 哆 ! 

[root@www ~]# vim /etc/httpd/conf.d/ssl.conf 

Listen 443 <== 预 设 的 监听 埋 口 ! 不 建议 修改 ! 

<VirtualHost _default :443> <== 就 是 虚拟 主机 的 设 定 哆 ! 
DocumentRoot "/var/www/https" <== 约 84 行 ， 拿 掉 批 注 改 掉 目 录 名 称 
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ServerName *:443 <== 拿 掉 批 注 ， 并 将 主机 名 设 定 为 * 
SSLEngine on <== 有 文 援 SSL 的 意思 ! 


SSLCipherSuite 
ALL:!IADH:!IEXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW 


SSLCertificateFile /etc/pki/tls/certs/vbird.crt 
SSLCertificateKeyFile /etc/pki/tls/certs/vbird.key 
</VirtualHost> 

[root@www ~]# /etc/init.d/httpd restart 


大 部 分 都 使 用 默认 值 ， 就 是 DocumentRoot 以 及 ServerName 需要 留意 就 
日 
是 了 。 如 此 一 


来 ， 我 们 就 将 https, http 两 个 完整 的 分 开 ， 你 的 重要 数据 需要 加 密 的 ， 
终于 有 个 可 


靠 的 地 方 摆 放 咖 ! 入 和 
20.5.4 防 砍 站 软件 


几 个 比较 知名 的 网 站 管理 员 大 概 都 有 这 样 的 困扰 ， 那 就 是 网 站 第 被 砍 站 
软件 所 强力 


下 载 ， 结 果 造 成 主机 的 CPU loading 过 重 ， 最 后 竟然 会 导致 死 掉 一 唤 ! 
真是 的 一 人 性 


出 名 猪 怕 肥 呐 ! 先 来 解释 一 下 什么 是 砍 站 吧 ! 


所 谓 的 『 砍 站 】， 就 是 以 类 似 多 点 联机 下 载 的 持续 性 讯息 传递 软件 进行 
网 站 数据 的 


下 载 ， 而 且 ， ”一 月 用 该 软件 ， 该 软件 就 将 『 整 个 网 站 】」 的 内 容 都 给 他 











download 下 来 ， 
很 厉害 吧 ! 没 错 ! 是 很 历 害 ， 但 是 却 也 害 死 人 了 一 怎么 说 呢 ? 


因为 这 种 软件 常常 会 为 了 加 快 download 的 速度 ， 所 以 采用 多 点 联机 的 
是 会 持续 不 断 的 疝 Server 发 出 要 求 封包 ， 而 由 于 这 些 封包 并 不 见得 能 够 
成 功 的 让 


Server 把 数据 传导 给 Client 端 ， 篆 篆 会 无 法 投递 就 是 啦 ! 这 样 的 结果 惑 


Server 要 一 直 不 断 的 啊 应 ， 又 无 法 正确 的 啊 应 出 去 ， 此 外 ， 要 求 太 过 频 
繁 ， 结 果 主 机 


应 接 不 上 暇 ， 最 后 … 就 当 机 了 .… 真 的 是 林 老 师 为 从 一 


ee 束 是 因为 这 样 的 原因 ， 导 臻 服 务 常常 断 断 续 
续 Jy， ) 且 ， 


由 于 CPU loading 太 高 ， 结 果 让 正常 联机 进来 看 数据 的 网 友 没 有 足够 的 
资源 ， 因 此 网 


页 开局 的 速度 就 变 的 很 慢 一 唉 ~ 这 些 砍 站 的 人 ， 也 太 不 道德 啦 ! 
由 于 这 种 人 砍 站 软件 真 的 很 及 烦 ， 一 不 注意 马上 惑 叉 会 被 人 砍 站 而 当 机 ， 三 
了 王 


、 


两 头 驶 要 














重新 局 动 一 次 ， 完 全 让 Linux 的 稳定 性 无 法 发 挥 ! 真是 气 死 了 一 后 来 ， 
乌 哥 束 目 行 写 


了 一 个 scripts 来 挡 这 样 的 卫 ! 我 的 作法 是 这 样 的 : 
站 因此 ， 同 一 个 IP 在 同一 个 时 间 内 ， 
会 有 相 


当 多 的 联机 发 生 ; 
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和 由 于 他 是 重复 不 断 的 要 求 联机 ， 因 此 刚刚 建立 的 联机 在 达成 下 载 的 目 
和 后 ， 


会 并 刻 死 挥 ， ”而 又 多 生出 其 他 的 联机 出 来 ， 因 此 ， 这 个 时 候 他 的 联机 


的 相当 的 不 正常 了 ! 


3. 由 于 某 此 较 旧 的 砍 站 软件 并 不 会 [其 颈 ] 主机 ， 所 以 ， 会 在 主机 的 人 
录 文 


里 面 记 录 住 Teleport 的 标记 ! 


4. 既然 如 此 的 话 ， 那 么 我 就 让 我 的 主机 每 分 钟 去 检查 两 个 东西 (1) 先 检查 
log 


file ， 如 果 有 发 现 到 相关 的 Teleport 字 词 ， 就 将 该 IP 抵挡 掉 ; (2) 使 用 


Ee 来 检查 同一 个 IP 的 同时 联机 ， 如 果 该 联机 超过 一 个 值 (例如 同时 
12 


个 联机 ) 的 话 ， 那 么 就 将 该 IP 抵挡 掉 ! 
5. 此 外 ， 由 于 上 面 的 方案 可 能 会 将 Proxy 的 Client 端 也 同时 抵挡 掉 ， 真 
是 





可 怜 啊 ! ”这 个 时 候 ， 这 文 程 序 就 会 主动 的 将 () 的 情况 的 主机 抵挡 3 
天 ， 人 至 于 


0 2 小 时 ! 过 了 该 抵挡 的 时 限 后 ， 该 IP 即 可 又 连 上 我 们 
I 主机 


了 ! 
大 致 上 就 是 这 样 吧 ! 这 样 的 一 程序 需要 与 iptables 相互 配合 ， 所 以 ， 请 





这 文 程序 你 可 以 








http:/Ninux.vbird.org/download/index.php?action=detail&fileid=47 


详细 的 安装 步骤 鸟 哥 已 经 以 中 文 写 在 该 档案 里 面 了 ， 所 以 请 先 查 看 一 下 
该 档案 的 前 


面 说 明 部 分 吧 ! 此 外 ， Study Area 的 netman 大 哥 也 已 经 开发 了 一 套 很 
棒 的 防 砍 站 的 


程序 了 ! ”在 防 堵 砍 站 的 原理 上 面 是 完全 相同 的 ， 不 过 写法 可 能 不 是 很 
雷同 惑 是 了 ! 如 


果 有 需要 的 话 ， 也 可 以 前 往 Study-Area 搜寻 一 下 哆 ! 











http://phorum.study-area.org/viewtopic.php?t=13643 
20.6 重点 回顾 


WWW 的 传输 协议 使 用 HTTP (Hyper Text Transport Protocol) ， 最 早 
是 由 


欧洲 核 物理 实验 室 的 伯 纳 斯 - 李 所 发 展 的 ; 
WWW 在 server/client 端 主要 传递 的 讯 轧 数据 以 HIML (Hyper Text 
Markup Language) 语法 为 主 ; 


ee ://www.w3c.org 为 制订 与 发 布 WWW 标准 语法 的 组 织 ， 你 撰写 网 
页 最 好 


依据 该 站 之 标准 为 宜 ; 
Apache 是 达成 WWW 服务 器 的 一 项 软件 ， 至 于 客户 端的 浏览 则 使 用 


中 入 号 所 
9 


浏 钨 
目前 可 使 用 firefox 


浏览 器 可 达成 的 主机 链接 不 止 http， 可 在 网 址 列 输入 对 应 的 『 协 议 :/ 
主机 


[port]/ 资 源 」 即 可 取得 不 同 的 数据 ; 


藻 要 WWW 服务 器 可 以 达成 与 用 户 信息 互动 ， 尚 须要 网 页 程序 语言 
(如 PHP， 


perl 等 ) 以 及 数据 库 软 件 (如 MySQL, portgresql 等 ); 
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因为 http 使 用 的 是 明码 传送 ， 目 前 WWW 可 利用 SSL 等 机 制 来 进行 
数据 加 


密 的 传输 ; 
Apache 的 配置 文件 其 实 只 有 httpd.conf 而 已 ， 其 他 的 配置 文件 都 是 被 
Include 进来 的 ; 


Apache ”的 首页 目录 以 ”DocumentRoot 决定， 首页 档案 则 以 
DirectoryIndex 


决定 ; 
Apache 可 以 透 过 虚拟 主机 的 设 定 以 指定 不 同 主机 名 到 不 同 的 
DocumentRoot 下 ; 


Apache 是 多 线程 的 软件 ， 可 以 局 动 多 个 程序 来 负责 WWW。 主 要 的 
模块 有 


prefork 及 worker， 至 于 最 大 可 联机 的 数量 则 以 MaxClients 来 决定 。 


若 要 正确 的 让 浏览 器 显示 网 页 的 编码 格式 ， 最 好 在 网 页 上 宣告 语系 ， 
并 将 


Apache 的 配置 文件 httpd.conf 内 的 AddDefaultCharset 设 定 值 取消 ; 
在 Apache 可 浏览 的 目录 权限 设 定 上 (Options 参数 )， 最 好 将 Indexes 


掉 ; 

透 过 AllowOverride 与 .htaccess 可 让 用 户 在 自己 管理 的 目录 下 制订 自 
己 的 风格 ; 

Apache 本 身 提供 一 个 apachectl 的 script 让 使 用 者 得 以 快速 管理 其 
apache 的 服务 ; 
0 0 








20.7 本 章 习 题 
请 问 LAMP 这 个 服务 器 代表 什么 意思 ? 


这 个 名 词 代表 了 Linux + Apache + MySQL + PHP 这 个 WWW 服务 器 的 
组 成 ! 


Apache 的 配置 文件 档 名 一 般 为 何 ? 
Apache 的 配置 文件 档 名 为 httpd.conf ， 不 过 ， 由 于 httpd.conf 内 容 参 


数 可 以 使 用 『 include "额外 配置 文件 名 "」 ， 所 以 也 可 能 具有 其 他 的 额 
外 配置 


文件 喔 ! 


在 Apache 的 配置 文件 当中 ， 哪 一 个 参数 是 用 来 设 定 『 主 网 页 」 的 ? 


设 定 主 网 页 的 参数 为 : DocumentRoot 喔 ! 后 面 接 的 是 主 网 页 放置 的 
[目录 | ! 


哪 一 个 指令 用 来 重新 启动 与 关闭 Apache ? (请 以 Apache 本 身 提 供 的 
功能 


来 说 明 ) 
其 实 不 论 是 RPM 还 是 Tarball 都 是 使 用 apachect 这 个 档案 来 启动 


apache 的 ， 不 过 RPM 已 经 将 该 档案 整合 到 /etc/init.d/httpd 里 面 去 而 已 
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当 我 使 用 ps -aux 的 时 候 ， 发 现 好 多 的 httpd... 的 程序 ， 这 是 正常 的 
四? 


最 多 可 以 有 几 个 程序 是 在 那个 档案 的 那个 参数 所 设 定 的 ? 
由 于 Apache 预 设 为 多 线程 ， 所 以 启动 多 个 processes 是 正常 的 。 至 于 局 
动 几 个 process 则 由 很 多 设 定 所 处 理 ， 包括 MinSpareServers， 








MaxSpareServers, MaxClients 等 等 。 

又 ， 时 上 题 ， 这 些 程序 (process) 的 owner 与 group 是 谁 ? 该 察看 那个 
配置 文件 的 那个 参数 ? 
同样 察看 httpd.conf 里 面 的 User 与 Group 这 两 个 设 定 值 ! 

如 果 今 天 我 以 http://your.ip 结果 却 发 现 浏 览 右 出 现 类 似 FTP 的 画面 
(会 列 出 该 目录 下 的 所 有 档案 )， 这 是 什么 原因 造成 的 ? 该 如 何 避 免 ? 











这 是 由 于 在 httpd.conf 里 面 ， 针 对 该 目录 的 设 定 参数 『 Options 」 当 


HH 








设 定 了 Indexes 这 个 设 定 值 ， 导 致 当 找 不 到 主页 时 (通常 是 index.html)， 
就 会 


将 该 目录 下 的 所 有 档案 秀 出 来 ! 解决 的 方法 就 是 拿 控 Options 里 面 的 


Indexes 
设 定 值 即 可 ! 
在 Apache 里 面 .htaccess 这 个 档案 的 功能 为 何 ? 
可 以 用 来 取代 httpd.conf 里 面 的 设 定 参数 ! 创造 属于 使 用 者 自己 的 
Apache 风格 ! 


0 但 显示 的 数据 并 非 正确 的 中 文 。 后 来 按照 上 文 
和 说明 


修改 了 中 文 的 设 定 ， 却 还 是 无 法 看 到 中 文 。 请 问 可 能 的 原因 为 何 ? 

由 于 你 曾经 浏览 过 该 网 站 的 网 页 ， 所 以 该 网 页 会 被 你 的 浏览 器 所 暂 存 
(cache)， 因 此 你 应 该 可 以 这 样 做 : 

o 在 同一 页 面 下 按 下 『 reload 」 来 重 载 ; 

o 清除 掉 所 有 的 浏览 器 快 取 ; 

0 将 原本 的 网 页 在 服务 器 端 改 名 ， 并 让 浏览 器 浏览 新 的 网 页 名 称 。 
,PHP 的 程序 代码 一 定 要 使 用 <?php 程序 代码 ?> 吗 ? 有 没有 蔡 代 方 


不 


预 设 的 情况 下 ， 你 应 该 要 输入 <?php ?> 才能 写 入 PHP 的 程序 。 不 过 早 
期 




















的 程序 或 许 都 以 <? ?> 来 撰写 的 。 如 果 想 要 让 该 种 方式 生效 的 话 ， 你 可 


以 进入 
/etc/php.ini 档案 中 ， 修 改 『short_open_tag = On」 这 个 设 定 项 目 即 可 。 
20.8 参考 数据 与 延伸 阅读 

疯 林 . 穆 迪 着 ， 杜 默 译 ， [Linux 传奇 ] ， 时 报 出 版 ; 
net.giang(@@hotmail.com 


WWW 发 展 者 蒂 姆 . 伯 纳 斯 一 李 的 生平 简介 : 





Apache 官方 网 站 : http:/www.apache.org/ 


Mozilla 官方 网 站 : http:/www.mozilla.org/ 

PHP 官方 网 站 : http:/www.php.net/ 

MySQL 官方 网 站 : http://www.mysql.org/ 

MySQL 中 文 使 用 手册 : 
http://linux.tnc.edu.tw/techdoc/mysql/mysgl doc/manual toc.html 

Apache 1.3 版 的 Tarball 安装 方式 : 
http://linux.vbird.org/linux server/0360apache/0360apache-1.php 

Apache 2.0 的 说 明文 件 : 
http://httpd.apache.org/docs/2.0/mod/core.html 

林 彦 明 的 Apache SSL 实战 演练 : 


http:/www.vbird.org/somepaper20060310-https.pdf 


2003/01/14: 第 一 次 完成 

2003/01/18: 新 增 问题 讨论 : 关于 中 文 的 说 明 

2003/01/21: 新 增 问题 讨论 : 关于 PHP 无 法 使 用 的 问题 说 明 
2003/04/28: 加 入 砍 站 软件 的 程序 说 明 

2003/04/29: 加 入 PHP 原始 码 程序 优化 模块 MM Cache 说 明 。 


2003/05/07: 加 入 ab 这 个 效能 测试 的 说 明 ! 








2003/05/30: 使 用 Tarball 安装 时 第 稼 发 生 一 些 困 扰 ， 加 入 _UsevGroup 的 
设 定 说 明 ! 


2003/09/10: 将 原本 在 2002/12 安装 Tarball 的 软件 更 新 为 目前 2003/09 
最 新 的 版 


本 来 安装 喔 ! 


2003/10/02: 





2004/03/25: 修订 2004/03/25: 修订 MySQL 安装 的 流程 ! 第 四 步骤 加 入 
权限 的 修订 ! 


2004/09/03: 修改 了 MMGCache 的 主 网 页 。 
2006/10/21: 将 旧 的 文章 移动 到 此 处 
2006/11/09: 花 了 很 多 时 间 修 改 ， 不 再 提供 tarball 的 安装 需求 了 ! 


2006/11/10: 预先 释 出 版 本 ， 包 括 修 改 MM Cache 成 为 eaccelerator、 增 
加 SSL 修改 


awstats 之 安装 等 。 





2010/02/08: 网 友 告知 ，SSL 建 置 的 genrsa 应 该 是 private key 而 非 
public key 喔 ! 





这 部 份 乌 哥 误解 了 。 
2011/05/10: 将 旧 的 基于 CentOS 4.x 的 版 本 移动 到 此 处 


2011/05/27: 终于 改 完了 ! 这 次 的 改版 幅度 不 会 很 大 ， 主 要 是 适应 在 
CentOS 5.x 的 版 


本 上 面 啦 ! 
2011/08/05: 将 基于 CentOS 5.x 的 版 本 移动 到 此 处 
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最 近 更 新 日 期 : 2011/08/08 


FTP (File Transfer Protocol 可 说 是 最 古老 的 协议 之 一 了 ， 主 要 是 用 来 进 
行 档案 的 传输 ， 尤 其 是 大 型 


档案 的 传输 使 用 FTP 更 是 方便 ! 不 过 ， 值 得 注意 的 是 ， 使 用 FTP 来 传 
和 输 时 ， 其 实 是 具有 一 定 程度 的 『 危 


险 性 ] ， ”因为 数据 在 因特网 上 面 是 完全 没有 受到 保护 的 『 明 码 上 」 传输 
方式 ! 但 是 单纯 的 FTP 服务 还 是 


有 其 必要 性 的 ， 例 如 很 多 学 校 就 有 FTP 服务 器 的 架设 需求 啊 ! 
21.1 FTP 的 数据 链 路 原 玫 
21.1.1 FTP 功能 简介 


21.1.2 FTP 的 运作 流程 后 | 的 端口 口 























21.1 FTP 的 数据 链 路 原理 


FTP (File transfer protocol) 是 相当 古老 的 传输 协议 之 一 ， 他 最 主要 的 功 


在 服务 器 与 客户 器 之 间 进 行 档案 的 传输 。 ”这 个 古老 的 协议 使 用 的 是 明 
码 传输 方式 ， 且 
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必 
过 去 有 相当 多 的 安全 危机 历史 。 为 了 更 安全 的 使 用 FTP 协议， 我 们 主 


要 介绍 较为 安全 
但 功能 较 少 的 vsftpd 这 个 软件 呐 。 
2.1.1 FTP 功能 简介 


FTP 服务 器 的 功能 除了 单纯 的 进行 档案 的 传输 与 管理 之 外 ， 依 据 服 务 器 
软件 的 设 定 


架构 ， 它 还 可 以 提供 几 个 主要 的 功能 。 撒 下 我 们 约略 的 来 谈 一 谈 : 





不 同等 级 的 用 户 身 份 : user, guest, anonymous 


FTIP 服务 器 在 预 设 的 情况 下 ， 依 据 使 用 者 登入 的 情况 而 分 为 三 种 不 同 的 


身份 ， 分 别 


是 : ”(1) 实 体 账号 ,real user; (2) 访 客 ，guest; (3) 匿 名 登录 者 ,anonymous 
这 三 种 。 


这 三 种 身份 的 用 户 在 系统 上 面 的 权限 差异 很 大 喔 ! 例如 实体 用 户 取得 系 














统 的 权限 比较 完 


整 ， ”所 以 可 以 进行 比较 多 的 动作 ;至 于 匿名 登录 者 ， 大 概 我 们 就 仅 提 
供 他 下 载 资源 的 


能 力 而 已 ， 并 不 许 匿名 者 使 用 太 多 主机 的 资源 啊 ! ”当然 ， 这 三 种 人 物 
能 够 使 用 的 [在 


线 指令 | 自然 也 束 不 相同 嘿 ! 人 人 





命令 记录 与 登录 文件 记录 : 
FTP 可 以 利用 系统 的 _syslogd 来 进行 数据 的 纪录 ， 而 记录 的 数据 报 括 了 


用 户 曾经 





下 达 过 的 命令 与 用 户 传 输 数 据 ( 传 输 时 间 、 档 案 大 小 等 等 ) 的 纪录 呢 ! 所 
以 你 可 以 很 轻 


松 的 在 /var/log/ 里 面 找到 各 项 登录 信息 喔 ! 








限制 用 户 活 动 的 目录 : (change root, 简称 chroot) 


为 了 避免 用 户 在 你 的 Linux 系统 当中 随意 逛 大 街 ( 意 指 离开 用 户 上 自己 的 
家 目录 而 


进入 到 Linux 系统 的 其 他 目录 去 )， 所 以 将 使 用 者 的 工作 范围 『 局 限 ] 
在 用 户 的 家 目 


录 底 下 ， 嗯 ! 实在 是 个 不 错 的 好 主意 ! FTP 可 以 限制 用 户 仅 能 在 自己 的 
家 目录 当中 活动 


喔 ! 如 此 一 来 ， 由 于 使 用 者 无 法 离开 目 己 的 家 目录 ， 而 且 登 入 FTP 
后 ， 显 示 的 『 根 目 


录 」 束 是 自己 家 目录 的 内 容 ， 这 种 环境 称 之 为 change root ， 人 简称 chroot 

















， 改 变 根 
目录 的 意思 啦 ! 


us 当 一 个 恶意 的 使 用 者 以 FITP 登入 你 的 系统 当中 ， 如 
没 


chroot 的 环境 下 ， 他 可 以 到 /etc, /usr/local, /home 等 其 他 重要 目录 底下 去 
察看 档 
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Port AA 


Port AA 





Port BB 


案 数 据 ， 尤 其 是 很 重要 的 /etc/ 底下 的 配置 文件 ， 如 /etc/passwd 等 等 。 
如 果 你 没有 


做 好 一 些 档案 权限 的 管理 与 保护 ， 那 他 就 有 办 法 取得 系统 的 茶 些 重要 信 
恩 ， 用 来 [入 


侵 」 你 的 系统 呢 ! 所 以 在 chroot 的 环境 下 ， 当 然 就 比较 安全 一 些 咯 ! 
21.1.2 FTP 的 运作 流程 与 使 用 到 的 端口 口 


FTP 的 传输 使 用 的 是 TCP 封包 协议 ， 
TCP 在 建立 








联机 前 会 先进 行 三 向 交 握 。 不 过 FTP 服务 器 是 比较 抹 烦 一 些 ， 因 为 FTP 
服务 器 使 用 了 


两 个 联机 ， 分 别 是 命令 信道 与 数据 流通 道 (ftp-data) 。 这 两 个 联机 都 需 
要 经 过 三 向 交 


握 ， 因为 是 TCP 封包 嘛 ! 那么 这 两 个 联机 通道 的 关系 是 如 何 呢 ? 底下 
我 们 先 以 FTP 预 


设 的 主动 式 (active) 联机 来 作 个 简略 的 说 明 哆 : 

图 21.1-1、FTP 服务 器 的 主动 式 联 机 示意 图 

简单 的 联机 流程 就 如 上 图 所 示 ， 至 于 联机 的 步骤 是 这 样 的 : 
1. 建立 命令 通道 的 联机 


如 上 图 所 示 ， 客 户 端 会 随机 取 一 个 大 于 1024 以 上 的 塌 口 (port AA) 来 与 
FTP 


人 port 21 达成 联机 ， 这 个 过 程 当然 需要 三 向 交 握 了! 达成 联 
站 后 


We FTP 服务 器 下 达 指 令 ， 包括 查询 文件 
、 下 载 、 


上 传 等 等 指令 都 是 利用 这 个 通道 来 下 达 的 ; 
2. 通知 FTP 服务 器 端 使 用 active 且 告 知 连接 的 埠 号 


FIP 服务 需 的 21 埋 号 主要 用 在 命令 的 下 达 ， 但 是 当 牵 涉 到 数据 流 时 ， 
就 不 是 使 


用 这 个 联机 了 。 ”客户 并 在 需要 数据 的 情况 下 ， 会 告知 服务 嚣 端 要 用 什 
么 方式 来 


0 如 果 是 主动 式 (active) 联机 时 ， 客户 端 会 先 随机 局 用 一 个 埋 口 
( 














21.1-1 当中 的 port BB) ， 且 透 过 命令 通道 告知 FTP 服务 器 这 两 个 信息 ， 
并 等 


待 FTP 服务 器 的 联机 
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3. FTP 服务 器 『 主 动 」 向 客户 端 联机 


人 道 了 解 客 户 端的 需求 后 ， 会 主动 的 由 20 这 个 埋 号 
户 立 


Wi 这 个 联机 当然 也 会 经 过 三 向 交 握 啦 ! 此 时 FTP 的 客户 
端 丘 


服务 器 端 共 会 建立 两 条 联机 ， 分 别 用 在 命令 的 下 达 与 数据 的 传递 。 而 
预 设 FTP 


服务 器 端 使 用 的 主动 联机 塌 号 就 是 port 20 吃 ! 


如 此 一 来 则 成 功 的 建立 起 『 命 令 1 与 『 数 据 传输 | 两 个 信道 ! 不 过 ， 要 
注意 的 是 ， 


[数据 传输 信道 」 是 在 有 数据 传输 的 行为 时 才 会 建立 的 通道 喔 ! 并 不 是 
一 开始 连接 到 


FTP 服务 露 就 立刻 建立 的 通道 呢 ! 留意 一 下 吃 ! 








主动 式 联机 使 用 到 的 塌 写 

利用 上 述 的 说 明 来 整理 一 下 FTP 服务 器 端 会 使 用 到 的 埋 号 主要 有 : 
命令 通道 的 ftp (默认 为 port 21) 与 
数据 传输 的 ftp-data (默认 为 port 20)。 

再 强调 一 次 ， 这 两 个 井口 的 工作 是 不 一 样 的 ， 而 且 ， 重要 的 是 两 者 的 联 





机 发 起 端 是 


不 一 样 的 ! 首先 port 21 主要 接受 来 自 客户 端的 主动 联机 ， 人 至 于 port 20 
则 为 FTP 服 


务 器 主动 联机 至 客户 端 呢 ! 这 样 的 情况 在 服务 器 与 客户 端 两 者 同时 为 公 
共 IP (Public 


IP) 的 因特网 上 面 通常 没有 太 大 的 问题 ， 不 过 ， 万 一 你 的 客户 端 是 在 防 
火 墙 后 疾 ， 或 者 


是 NAT 服务 器 后 端 呢 ? 会 有 什么 问题 发 生 呢 ? 底下 我 们 来 谈 一 谈 这 个 
严重 的 问题 ! 








在 主动 联机 的 FTP 服务 器 与 客户 端 之 间 具 有 防火 墙 的 联机 问题 
j 火 墙 ! 一 般 来 将 ， 很 多 的 局 域 网 络 都 会 使 用 








(iptables) 的 NAT 功能 ， 那 么 在 NAT 后 端的 FTP 用 户 如 何 连接 到 FTP 
服务 器 呢 ? 


我 们 可 以 简单 的 以 下 图 来 说 明 : 
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Port BB 荆 完 等 不 到 如 妹 ,,， Port BB 


图 21.1-2、FTP 客户 端 与 服务 器 问 联 机 中 间 具 有 防火 墙 的 联机 状态 
1. 用 户 与 服务 需 间 命令 信道 的 建立 : 


因为 NAT 会 主动 的 记录 由 内 部 送 往外 部 的 联机 信息 ， 而 由 于 命令 信道 
的 建立 是 


端 癌 服务 器 端 联机 的 ， 因此 这 一 条 联机 可 以 顺利 的 建立 起 来 


2. 用 户 与 服务 器 间 数 据 信道 建立 时 的 通知 : 
同样 的 ， 客 户 端 主机 会 先 启 用 port BB ， 并 透 过 命令 通道 告知 FTP 服务 
侨 ， 且 


等 等 服务 器 端的 主动 联机 ; 
3. 服务 器 主动 连 到 NAT 等 待 转 递 至 客户 端的 联机 问题 : 


但 是 由 于 透 过 NAT 的 转换 后 ，FTP 服务 器 只 能 得 知 NAT 的 IP 而 不 是 
客户 端的 


IP ， 因此 FTP 服务 器 会 以 port 20 主动 的 向 NAT 的 port BB 发 送 主动 
联机 


的 要 求 。 但 你 的 NAT 并 没有 启动 port BB 来 监听 FTP 服务 器 的 联机 


Wh! 


了 解 问题 的 所 在 了 吗 ? 在 FTP 的 主动 式 联 机 当中 ，NAT 将 会 被 视 为 客 
户 端 ， 但 NAT 


其 实 并 非 客 户 端 啊 ， 这 就 造成 问题 了 。 如 果 你 曾经 在 IP 分 享 器 后 面 连 
接 某 些 FTP 服 


务 絮 时 ， 可 能 偶尔 会 发 现 明明 束 连 接 上 FTP 服务 器 了 (命令 通道 已 建 
Y)， 但 是 就 是 无 


法 取得 文件 名 的 列表 ， 而 是 在 超过 一 段 时 间 后 显示 『 Can't build data 


connection: 


Connection refused， 无 法 进行 数据 传输 」 之 类 的 讯 晨 ， 那 肯定 就 是 这 个 
原因 所 造成 


的 困扰 了 。 


那 有 没有 办 法 可 以 克服 这 个 问题 呢 ? 难道 真 的 在 Linux NAT 后 面 就 一 定 
无 法 使 用 


FTP 吗 ? 当然 不 是 ! 目前 有 两 个 简易 的 方法 可 以 克服 这 个 问题 : 
使 用 iptables 所 提供 的 FTP 侦 测 模块 : 


其 实 iptables 早 就 提供 了 许多 好 用 的 模块 了 ， 这 个 FTP 当然 不 会 被 错 
ol 


可 以 使 用 modprobe 这 个 指令 来 加 载 ijp_conntrack_ftp 及 ip_nat_ftp 等 模 


块 ， 这 几 个 模块 会 主动 的 分 析 『 目 标 是 port 21 的 联机 」 信 息 ， 所 以 可 
以 得 到 


port BB 的 资料 ， 此 时 若 接 受到 FTP 服务 器 的 主动 联机 ， 就 能 够 将 该 封 
包 导 癌 


正确 的 后 端 主机 了 ! 信人 
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如 果 你 链接 的 目标 FTP 服务 器 他 的 命令 通道 默认 端口 写 并 非 标 
准 的 21 


J (例如 菜 些 地 下 FTP 服务 器 )， 那么 这 两 个 模块 就 无 法 顺利 解析 


这 样 说 ， 理 解 吗 ? 
客户 端 选择 被 动 式 (Passive) 联机 模式 : 


除了 主动 式 联机 之 外 ，FTP 还 提供 一 种 称 为 被 动 式 联机 的 模式 ， 什 么 是 
被 动 式 呢 ? 


nn 反 过 来 讲 ， 被 动 式 就 是 由 客户 端 


ee 赋 然 是 由 客户 端 发 起 联机 的 ， 那 自然 束 不 需要 考虑 
> port 


20 的 联机 啦 ! 关于 被 动 式 联机 模式 将 在 下 一 小 节 介绍 喔 ! 
21.1.3 客户 端 选择 被 动 式 联机 模式 


那么 什么 是 和 被动式 联机 呢 ? 我 们 可 以 使 用 底下 的 图 示 来 作 个 简略 的 介绍 
喔 ; 


图 21.1-3、FTP 的 被 动 式 数据 流 联 机 流程 

1. 用 户 与 服务 器 建立 命令 信道 : 

同样 的 需要 建立 命令 通道 ， 透 过 三 向 交 握 就 可 以 建立 起 这 个 通道 了 。 
2. 客户 端 发 出 PASYV 的 联机 要 求 : 


当 有 使 用 数据 信道 的 指令 时 ， 客 户 端 可 透 过 命令 通道 友 出 PASYV 的 被 动 
式 联 机 要 


求 (Passive 的 缩写 )， 并 等 竺 服务 器 的 回应 ; 
3. FTP 服务 器 启动 数据 端口 口 ， 并 通知 客户 端 联机 : 
如 果 你 的 FTP 服务 器 是 能 够 处 理 被 动 式 联机 的 ， 此 时 FTP 服务 器 会 先 


局 动 一 个 











塌 口 在 监 昕 。 “这 个 器 口 口号 码 可 能 是 随机 的 ， 也 可 以 目 定 义 茶 一 范围 
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必 

端 看 你 的 FTP 服务 器 软件 而 定 。 然后 你 的 FTP 服务 器 会 透 过 命令 通道 
告知 客 


户 端 该 已 经 局 动 的 埋 口 (图 中 的 port PASV)， 并 等 待 客户 端的 联机 。 
4. 客户 端 随机 取 用 大 于 1024 的 埋 口 进行 连接 : 


然后 你 的 客户 端 会 随机 取 用 一 个 大 于 1024 的 端口 号 来 对 主机 的 ”port 
PASYV 联 


机 。 如 果 一 切 都 顺利 的 话 ， 那 么 你 的 FTP 数据 就 可 以 透 过 port BB 及 


port 
PASYV 来 传送 了 。 


发 现 上 面 的 不 同 点 了 吗 ? 被 动 式 FTP 数据 信道 的 联机 方向 是 由 客户 端 
加 服务 器 站 


联机 的 喔 ! 如 此 一 来 ， 在 NAT 内 部 的 客户 端 主机 就 可 以 顺利 的 连接 上 
FTP Server 了 ! 


但 是 ， 万 一 FTP 主机 也 是 在 NAT 后 端 那 怎么 办 .呵呵 ! 那 可 就 粮 了 吧 
一 @_@ 这 里 束 


牵涉 到 更 深入 的 DMZ 技巧 了 ， 我 们 这 里 暂 不 介绍 这 些 深 入 的 技巧 ， 先 
理解 一 下 这 些 特 


殊 的 联机 方 辐 ， 这 将 有 助 于 你 未 来 服务 器 染 设 时 候 的 考虑 因 系 喔 ! 


此 外 ， 不 晓得 你 有 无 发 现 ， 透 过 PASV 模式 ， 服 务 器 在 没有 特别 设 定 的 
情况 下 ， 会 


随机 选取 大 于 1024 的 埋 口 来 提供 客户 端 连接 之 用 。 那 么 万 一 服务 需 局 
用 的 埋 口 被 搞鬼 


怎么 办 ? 而 且 ， ”如 此 一 来 也 很 难 退 踪 来 自 入 侵 者 攻击 的 登录 信息 啊 ! 
所 以 ， 这 个 时 候 


我 们 可 以 透 过 passive ports 的 功能 来 『 限 定 」 服务 器 启用 的 port number 
嘱 ! 


21.1.4 FTP 的 安全 性 问题 与 蔡 代 方案 


其 实 ， 在 FTP 上 面 传送 的 数据 很 可 能 被 窃取 ， 因 为 FTP 是 明码 传输 的 
嘛 ! 而 且 某 


些 FTP 服务 器 软件 的 资 安 历史 问题 也 是 很 严重 的 。 因此 ， 一 般 来 说 ， 
除非 是 学 校 或 者 


是 一 些 社团 单 位 要 开放 没有 机 密 或 授权 问题 的 资料 之 外 ，FTP 是 少 用 为 























妙 的 。 


拜 SSH 所 网 ， 目 前 我 们 已 经 有 较为 安全 的 FTP 了 ， 那 就 是 ssh 提供 的 
sftp 这 


个 server 啊 ! 这 个 sftp-server 最 大 的 优点 就 是 : 『 在 上 面 传输 的 数据 是 
经 过 加 密 


的 ] ! 所 以 在 因特网 上 面 流窜 的 时 候 ， 嘿嘿 ! 毕竟 是 比较 安全 一 些 
啦 ! 所 以 建议 你 ， 


除非 必要 ， 否 则 的 话 使 用 SSH 提供 的 sftp-server 功能 即 可 一 


然而 这 个 功能 对 于 一 些 习惯 了 图 形 接口 ， 或 者 是 有 中 文档 名 的 使 用 者 来 
说 ， 实 在 是 


不 怎么 方便 ， 虽说 目前 有 个 图 形 接口 的 flezilla 客户 端 软件 ， 不 过 很 多 


时 候 还 是 会 


发 生 一 些 莫名 的 问题 说 ! 所 以 ， 有 的 时 候 FTP 网 站 还 是 有 其 存在 的 需 
要 的 。 如 果真 的 


要 架设 FTP 网 站 ， 那 么 还 是 得 需要 注意 几 个 事项 喔 : 

1. 随时 更 新 到 最 新 版 本 的 FTP 软件 ， 并 随时 注意 漏洞 讯息 ; 
2. 善 用 iptables 来 规定 可 以 使 用 FTP 的 网 域 ; 

3. 善 用 TCP_Wrappers 来 规范 可 以 登入 的 网 域 ; 


善 用 FTP 软件 的 设 定 来 限制 使 用 你 FTP 服务 器 的 使 用 者 的 不 同 权限 
Wo ; 


5. 使 用 Super daemon 来 进 阶 管理 你 的 FTP 服务 器 ; 
6. 随时 注意 用 户 的 家 目录 、 以 及 匿名 用 户 登 入 的 目录 的 『 档 案 权 限 」 ; 
7. 若 不 对 外 公开 的 话 ， 或 许 也 可 以 修改 FTP 的 port 。 
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必 
8. 也 可 以 使 用 FTPs 这 种 加 密 的 FTP 功能 ! 


无 论 如 何 ， 在 网 络 上 听 过 太 多 人 都 是 由 于 开放 FTP 这 个 服务 器 而 导致 
整个 主机 被 


入 侵 的 事件 ， 所 以 ， 这 里 真 的 要 给 他 一 直 不 断 的 强调 ， 要 注意 安全 
Wh ! 


21.1.5 开放 什么 身份 的 使 用 者 登入 


既然 FTP 是 以 明码 传输 ， 并 且 某 些 早期 的 FTP 服务 器 软件 也 有 不 少 的 
安全 漏洞 ， 


那 又 为 何 需要 架设 FITP 服务 器 啊 ? 没 办 法 啊 ， 总 是 有 人 有 需要 这 个 玩 
意 儿 的 ， 璧 如 说 


各 大 专 院 校 不 就 有 提供 FTP 网 站 的 服务 吗 ? 这 样 可 以 让 校内 的 同学 共 


同 分 享 校内 的 


网 络 资源 嘛 ! 不 过 ， 由 于 FTP 登入 者 的 号 份 可 以 分 为 三 种 ， 你 到 底 要 
开放 哪 一 种 身份 


登入 呢 ? 这 个 时 候 你 可 以 这 样 简单 的 思考 一 下 吃 : 











开放 实体 用 户 的 情况 (Real user): 


很 多 的 FTP 服务 器 默认 就 已 经 允许 实体 用 户 的 登入 了 。 不 过 ， 需 要 了 
解 的 是 ， 以 


实体 用 户 做 为 FTP 登入 者 身份 时 ， 系统 默认 并 没有 和 针对 实体 用 户 来 进 
行 『 限 制 」 的 ， 


所 以 他 可 以 针对 整个 文件 系统 进行 任何 他 所 有 具有 权限 的 工作 。 ”因此 ， 


如 果 你 的 FTP 使 


用 者 没 能 好 好 的 保护 自己 的 密码 而 导致 被 入 侵 ， 那 么 你 的 整个 Linux 系 
统 数 据 将 很 有 


可 能 被 锣 取 啊 ! 开放 实体 用 户 时 的 建议 如 下 : 


从， 丛 代 的 FTP 方案 较 佳 : 由 于 实体 用 户 本 来 就 可 以 透 过 网 络 连接 
到 主机 


来 进行 工作 (例如 SSH)， 因 此 实在 没有 需要 特别 的 开放 FTP 的 服务 
啊 ! 因为 例 


如 sftp 本 来 就 能 达到 传输 档案 的 功能 哆 ! 
限制 用 户 能 力 ， 如 chroot 与 /sbin/nologin 等 : 如 果 确 定 要 让 实体 用 户 


利用 FTP 服务 器 的 话 ， 那 么 你 可 能 需要 让 傈 些 系 统 账 号 无 法 登入 FTP 
才 行 ， 例 


如 bin, apache 等 等 。 最 简单 常用 的 作法 是 透 过 PAM 模块 来 处 理 ， 壁 如 
vsftpd 这 个 软件 默认 可 以 透 过 /etc/vsftpd/ftpusers 这 个 档案 来 设 定 不 想 让 


他 共有 登入 FTP 的 账号 。 另 外 ， 将 使 用 者 身份 chroot 是 相当 需要 的 ! 











访客 身份 (Guest) 


通常 会 建 并 guest 里 份 的 案例 当中 ， 多 半 是 由 于 服务 器 提供 了 类 似 『 个 
人 Web 首 


页 」 的 功能 给 一 般 身 份 用 户 ， ”那么 这 些 使 用 者 总 是 需要 管理 自己 的 网 
页 空间 吧 ? 这 个 
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时 候 将 使 用 者 的 身份 压缩 成 为 guest ， 并 且 将 他 的 可 用 目录 设 定好 ， 即 


可 提供 使 用 者 
一 个 方便 的 使 用 环境 了 ! 且 不 需要 提供 他 real user 的 权限 喔 ! 常见 的 建 
议 如 下 : 

仅 提 供需 要 登入 的 账号 即 可 ， 不 需要 提供 系统 上 面 所 有 人 均 可 登入 的 
环境 啊 ! 


当然 ， 我 们 在 服务 器 的 设 定 当中 ， 需 要 针对 不 同 的 访客 给 他 们 不 一 样 
入 了 家 


目录 」， 而 这 个 家 目录 与 用 户 的 权限 设 定 需要 相符 合 喔 ! 例如 要 提供 


DE 


dmtsai 过 














个 人 管理 他 的 网 页 空间 ， 而 他 的 网 页 空间 放置 在 /home/dmtsai/www 底 
下 ， 那 我 


束 将 dmtsai 在 FTP 提供 的 目录 仅 有 /home/dmtsai/www 而 已 ， 比 较 安 全 
啦 1! 


而 且 也 方便 使 用 者 啊 ! 


针对 这 样 的 身份 者 ， 震 要 设 定 较 多 的 限制， 包括 ， 上 下 传 档案 数目 与 
硬盘 容 


量 的 限制 、 ”联机 登入 的 时 间 限 制 、 许 可 使 用 的 指令 要 减少 很 多 很 多 ， 
例如 chmod 


就 不 要 允许 他 使 用 等 等 ! 


匿名 登录 使 用 者 (anonymous) 


虽然 提供 匿名 登录 给 因特网 的 使 用 者 进入 实在 不 是 个 好 主意 ， 因 为 每 个 
人 都 可 以 去 


下 载 你 的 数据 ， 万 一 带宽 被 吃 兴 兴 怎 么 办 ? 但 如 同 前 面 讲 过 的 ， 学 校 


单位 需要 分 人 至 全 











校 同 学 一 些 软件 资源 时 ， FTP 服务 器 也 是 一 个 很 不 错 的 解决 方案 啊 ! 
你 说 是 吧 。 如 果 


要 开放 匿名 用 户 的 话 ， 要 注意 : 


人 
小 心 ， 


举重 要 的 资料 放 时 到 区 名 者 可 以 谈 取 的 目录 中 时 ， 屠 么 就 很 有 可 能 会 江 
密 ! 与 其 


战 战 状 琢 ， 不 如 就 不 要 设 定 啊 一 
人 
工作 指 





令 要 减低 很 多 ， 几乎 束 个 许 匿名 者 使 用 指令 啦 、(2) 限 制 文件 传输 的 数 


尽量 


要 

量 ， 

不 要 允许 『 上 传 」 数 据 的 设 定 、 (3) 限制 匿 名 者 同时 登入 的 最 大 联机 数 
量 ， 可 以 


控制 盗 连 喔 ! 


一 般 来 说 ， 如 果 你 是 要 放置 一 些 公 开 的 、 没 有 版 权 纠 纷 的 数据 在 网 络 上 
供 和 人 下载 的 


话 ， 那么 一 个 仅 提供 匿名 登录 的 FTP 服务 器 ， 并 且 对 整个 因特网 开放 
是 OK 的 啦 ! 不 


过 ， 如 果 你 预计 要 提供 的 的 软件 或 数据 是 具有 版 权 的 ， 但 是 该 版 权 人 允许 
你 在 贵 单位 内 传 


输 的 情况 下 ， 那么 架设 一 个 『 仅 针对 内 部 开放 的 匿名 FTP 服务 器 (利用 
防火 墙 处 理 ) 」 


也 是 OK 的 啦 ! 


如 果 你 还 想 要 让 使 用 者 反馈 的 话 ， 那 是 否 要 架设 一 个 匿名 者 可 上 传 的 区 





域 呢 ? 马 哥 


对 这 件 事 情 的 看 法 是 ....。 『[ 万 万 不 可 」 啊 ! 如 果 要 让 使 用 者 反馈 的 话 ， 
除非 该 使 用 者 


是 你 信任 的 ， 否 则 不 要 允许 对 方 上 传 ! ”所 以 此 时 一 个 文件 系统 权限 管 
理 严 格 的 FTP 服 


务 器 ， 并 提供 实体 用 户 的 登入 就 有 点 需求 啦 ! ”总 之 ， 要 依照 你 的 需求 
来 思考 是 否 有 需 


要 喔 ! 
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oO 
21.2 vsftpd 服务 器 基础 设 定 


终于 要 来 聊 一 聊 这 个 简单 的 vsftpd 嗓 ! vsftpd 的 全 名 是 『Very Secure 
FIP 


Daemon 」 的 意思 ， 换 句 话说 ，vsftpd 最 初 发 展 的 理念 就 是 在 建构 一 个 
以 安全 为 重 的 


FTP 服务 器 呢 ! 我 们 先 来 聊 一 聊 为 什么 vsftpd 号 称 『 非 常安 全 」 呢 ?人 然 
后 再 来 谈 设 定 


吧 ! 
21.2.1 为 何 使 用 vsftpd 


为 了 建构 一 个 安全 为 主 的 FIP 服务 器 ， vsftpd 针对 操作 系统 的 『 程 序 
的 权限 

(privilege)」 概念 来 设计 ， 
的 话 ， 应 该 








会 晓得 系统 上 面 所 执行 的 程序 都 会 引发 一 个 程序 ， 我 们 称 他 为 PID 
(Process ID)， 这 


个 PID 在 系统 上 面 能 进行 的 任务 与 他 拥有 的 权限 有 关 。 也 就 是 说 ， PID 
拥有 的 权限 等 


级 越 高 ， 他 能 够 进行 的 任务 就 越 多 。 举 例 来 说 ， 使 用 root 身份 所 触发 
的 PID 通常 拥 


有 可 以 进行 任何 工作 的 权限 等 级 。 
不 过 ， 万 一 触发 这 个 PID 的 程序 (program) 有 漏洞 而 导致 被 网 络 怪 客 


(cracker) 


所 攻击 而 取得 此 PID 使 用 权时 ， 那么 网 络 怪 客 将 会 取得 这 个 PID 拥有 
的 权限 响 ! 所 


以 ， 近 来 发 展 的 软件 都 会 尽量 的 将 服务 取得 的 PID 权限 降低 ， 使 得 该 服 
务 即使 不 小 心 


被 入 侵 了 ， 入 侵 者 也 无 法 得 到 有 效 的 系统 管理 权限 ， 这 样 会 让 我 们 的 系 
统 较为 安全 的 啦 。 


vsftpd 就 是 基于 这 种 想法 而 设计 的 。 


除了 PID 方面 的 权限 之 外 ， vsftpd 也 支持 chroot 这 个 函 式 的 功能 ， 
chroot 顾 


名 思 义 就 是 『 change root directory 」 的 意思 ， 那 个 root 指 的 是 『 根 目 
录 」 而 非 


系统 管理 员 。 ”他 可 以 将 某 个 特定 的 目录 变 成 根 目 录 ， 所 以 与 该 目录 没 
有 关系 的 其 他 目 


录 束 不 会 被 误 用 了 。 


Mw 如 果 你 以 匿名 身份 登入 我 们 的 ftp 服务 的 话 ， 通 和 常 你 会 被 限 
定 在 














/varftp 目录 下 工作 ， 而 你 看 到 的 根 目 录 其 实 就 只 是 /varftp ， 至 于 系统 
其 他 如 


/etc, /home, /usr... 等 其 他 目录 你 就 看 不 到 了 ! 这 样 一 来 即使 这 个 ftp 服 
务 被 攻 


破 了 ， 没 有 关系 ， 入 侵 者 还 是 仅 能 在 /var/ftp 里 面 跑 来 跑 去 而 已 ， 而 无 
法 使 用 Linux 


的 完整 功能 。 上 自然 我 们 的 系统 也 就 会 比较 安全 啦 ! 


vsftpd 是 基于 上 面 的 说 明 来 设计 的 一 个 较为 安全 的 FTP 服务 器 软件 ， 他 
具有 底下 





的 特点 喔 : 
这 个 服务 的 启动 者 身份 为 一 般 用 户 ， 所 以 对 于 Linux 系统 的 权 
2 








低 ， 对 于 Linux 系统 的 危害 就 相对 的 减低 了 。 此 外 ， vsftpd 亦 利 用 
chroot() 


0 目录 的 动作 ， 使 得 系统 工具 不 会 被 vsftpd 这 文 服务 
误 用 ; 
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必 
任何 需要 具有 较 高 执行 权限 的 vsftpd 指令 均 以 一 支 特殊 的 上 层 程 序 所 


四 呈 


制 ， ”该 上 层 程 序 享有 的 较 局 执行 权限 功能 已 经 被 限制 的 相当 的 低 ， 并 
以 不 影响 


Linux 本 和 号 的 系统 为 准 ; 
绝 大 部 分 ftp 会 使 用 到 的 额外 指令 功能 (dir, ls, cd …) 都 已 经 被 整合 

















主 程序 当中 了 ， 因 此 理论 上 vsftpd 不 需要 使 用 到 额外 的 系统 提 
HY 


所 以 在 chroot 的 情况 下 ，vsftpd 不 但 可 以 顺利 运作 ， 且 不 需要 额 
外 3 
能 对 于 系统 来 说 也 比较 安全 。 

所 有 来 自 客 户 端 且 想 要 使 用 这 文 上 层 程序 所 提供 的 较 高 执行 权限 之 
vsftpd 
指令 的 需求 ，” 均 被 视 为 『 不 可 信任 的 要 求 ] 来 处 理 ， 必 和 需要 经 过 相当 
程度 的 号 
确认 后 ， 方 可 利用 该 上 层 程序 的 功能 。 例如 chown(, Login 的 要 求 等 
去 


份 
等 动 








作 ; 
0 上 面 提 到 的 上 层 程序 中 ， 依 然 使 用 chroot() 的 功能 来 限制 用 户 


行 权 限 。 


由 于 具有 这 样 的 特点 ， 所 以 vsftpd 会 变 的 比较 安全 一 些 咯 ! 底下 就 开始 
来 谈 如 何 


设 定 吧 ! 
21.2.2 所 需要 的 软件 以 及 软件 结构 


vsftpd ”所 需要 的 软件 只 有 一 个 ， 那 就 是 ”vsftpd 啊 ! 和 人! 如 果 你 的 
CentOS 没有 

安装 ， 请 利用 yum install vsftpd 来 安装 他 吧 ! 软件 很 小 ， 下 载 连同 安装 
不 需要 几 秒 

钟 就 搞定 了 ! 而 事实 上 整个 软件 提供 的 配置 文件 也 少 的 令 人 高 兴 ! 简单 
易 用 就 是 vsftpd 


的 特色 啊 ! 这 些 设 定 数据 比较 重要 的 有 : 


/etc/vsftpd/vsftpd.conf 


严格 来 说 ， 整 个 vsftpd 的 配置 文件 就 只 有 这 个 档案 ! 这 个 档案 的 设 定 是 
以 bash 





也 惑 是 『 参 数 = 设 定 值 上 来 设 定 的 ， 





号 两 边 不 能 有 空白 喔 ! 至 于 详细 的 vsftpd.conf 可 以 使 用 『 man 5 
vsftpd.conf 」 来 详 碍 。 
/etc/pam.d/vsftpd 


这 个 是 vsftpd 使 用 PAM 模块 时 的 相关 配置 义 件 。 主 要 用 来 作为 里 份 认 
证 之 用 ， 


还 有 一 些 用 户 吴 份 的 抵挡 功能 ， ”也 是 透 过 这 个 档案 来 达成 的 。 你 可 以 
察看 一 下 


该 档案 : 





[root@www ~]# cat /etc/pam.d/vsftpd 
#%PAM-1.0 
session optional pam_keyinit.so force revoke 


auth required pam listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers 
onerr=succeed 
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auth required pam_shells.so 


auth include password-auth 


account include password-auth 
session required pam_loginuid.so 


session include password-auth 


0 是 『 限 制 使 用 者 无 法 使 用 vsftpd 」 之 意 ， 也 
肥 


是 说 ， 其 实 你 的 限制 档案 个 见得 要 使 用 系统 默认 值 ， 也 可 以 在 这 个 档案 


修改 啦 ! 人 和信 
/etc/vsftpd/ftpusers 


I 也 就 是 PAM 模块 (/etc/pam.d/vsftpd) 所 指定 的 那 
| 


法 登入 的 用 户 配置 文件 啊 ! ”这 个 档案 的 设 定 很 简单 ， 你 只 要 将 『 不 想 
让 他 登入 


FTP 的 账号 」 写 入 这 个 档案 即 可 。 一 行 一 个 账号 ， 看 起 来 像 这 样 : 





[root@www ~]# cat /etc/vsftpd/ftpusers 

# Users that are not allowed to login via ftp 
root 

bin 

daemon 

…( 底 下 省 略 )..… 


瞧见 没有 ? 绝 大 部 分 的 系统 账号 都 在 这 个 档案 内 咀 ， 也 就 是 说 ， 系 统 账 
号 默认 是 


没有 办 法 使 用 vsftpd 的 啦 ! 如 果 你 还 想 要 让 茶 些 使 用 者 无 法 登入 ， 写 
在 这 里 


是 最 快 的 ! 
/etc/vsftpd/user_list 
这 个 档案 是 否 能 够 生效 与 vsftpd.conf 内 的 两 个 参数 有 关 ， 分 别 是 
『 userlist_enable, userlist_deny 」。 如 果 说 /etc/vsftpd/ftpusers 是 
PAM 模块 的 抵挡 设 定 项 目 ， 那 么 这 个 /etc/vsftpd/user_list 则 是 vsftpd 自 


定义 的 抵挡 项 目 。 事 实 上 这 个 档案 与 /etc/vsftpd/ftpusers 几乎 一 模 一 样 ， 
在 


预 设 的 情况 下 ， 你 可 以 将 不 希望 可 登入 vsftpd 的 账号 写 入 这 里 。 不 过 这 
个 档案 


的 功能 会 依据 vsftpd.conf 配置 文件 内 的 userlist_deny={YES/NO} 而 不 


同 ， 
这 得 要 特别 留意 喔 ! 
/etc/vsftpd/chroot_list 


这 个 档案 预 设 是 不 存在 的 ， 所 以 你 必须 要 手动 自行 建立 。 这 个 档案 的 主 


要 功能 是 


和 chroot 在 他 们 的 家 目录 下 ! 但 这 个 档案 要 生效 








vsftpd.conf 内 的 『 chroot_list_enable, chroot_list_file 」 两 个 参数 有 关 。 


如 果 你 想 要 将 东 些 实体 用 户 限制 在 他 们 的 家 目录 下 而 不 许 到 其 他 目录 
去 ， 可 以 局 


动 这 个 设 定 项 目 喔 ! 
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必 
/usrsbin/vsftpd 


这 就 是 vsftpd 的 主要 执行 档 咯 ! 不 要 怀疑 ， vsftpd 只 有 这 一 个 执行 档 而 
已 啊 ! 


/var/ftp/ 


这 个 是 vsftpd 的 预 设 匿名 者 登入 的 根 目 录 喔 ! 其 实 与 ftp 这 个 账号 的 家 
目录 


有 关 啦 ! 


大 至 上 束 只 有 这 几 个 档案 需要 注意 而 已 ， 而 且 每 个 档案 的 设 定 又 都 很 简 
单 ! 真是 不 


错 啊 ! 
21.2.3 vsftpd.conf 设 定 值 说 明 


事实 上 ，/etc/vsftpd/vsftpd.conf ”本 号 就 是 一 个 挺 详 细 的 配置 文件 ， 且 使 
用 『 man 


5 vsftpd.conf 」 则 可 以 得 到 完整 的 参数 说 明 。 不 过 我 们 这 里 依旧 先 将 
vsftpd.conf 


内 的 常用 参数 给 他 写 出 来 ,希望 对 你 有 帮助 : 








与 服务 器 环境 较 相 关 的 设 定 值 
connect from_port_20=YES (NO) 


记得 在 十 一 小 市 提 到 的 主动 式 联机 使 用 的 FTP 服务 器 的 port 吗 ? 这 就 
全 


ftp-data 的 塌 号 ; 
listen_port=21 


vsftpd 使 用 的 命令 通道 port， 如 果 你 想 要 使 用 非 正规 的 塌 写 ， 在 这 个 设 
定 项 目 


修改 吧 ! 不 过 你 必须 要 知道 ， 这 个 设 定 值 仅 适 合 以 stand alone 的 方式 
来 启动 


嘿 ! (对 于 super daemon 无 效 ) 
dirmessage_enable=YES (NO) 


当 用 户 进 入 东 个 目录 时 ， 会 显示 该 目录 需要 注意 的 内 容 ， 显 示 的 档案 默 
认 


是 .message ， 你 可 以 使 用 底下 的 设 定 项 目 来 修订 ! 











message_file=.message 


当 dirmessage_enable=YES 时 ， 可 以 设 定 这 个 项 目 来 让 vsftpd 寻找 该 档 


案 
显示 讯 居 1! 
listen=YES (NO) 


若 设 定 为 YES 表示 vsftpd 是 以 standalone 的 方式 来 启动 的 ! 预 设 是 NO 
吻 ! 


所 以 我 们 的 CentOS 将 它 改 为 YES 哩 ! 这 样 才 能 使 用 stand alone 的 方式 
来 唤 


陡 : 
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pasv_enable=YES (NO) 


文 持 数据 流 的 被 动 式 联机 模式 (passive mode)， 一 定 要 设 定 为 YES 的 


啦 ! 
use_localtime=YES (NO) 


是 人 否 使 用 本 地 时 间 ? vsftpd 预 设 使 用 GMT 时 间 ( 格 林 威 治 )， 所 以 预 设 的 
FTP 


内 的 档案 日 期 会 比 台 湾 晚 8 小 时 ， 建 议 修改 设 定 为 YES 吧 ! 
write_enable=YES (NO) 

如 果 你 允许 用 户 上 传 数据 时 ， 束 要 局 动 这 个 设 定 值 ; 
connect_ timeout=60 


es 在 数据 连接 的 主动 式 联机 模式 下 ， 我 们 发 出 的 连接 讯号 在 
60 秒 内 得 


不 到 客户 器 的 啊 应 ， 则 不 等 待 并 强制 断 线 咯 。 
accept_timeout=60 


a 以 被 动 式 PASV 来 进行 数据 传输 时 ， 如 果 服 务 器 启用 passive port 


待 client 超过 60 秒 而 无 回应 ， 那么 就 给 他 强制 断 线 ! 这 个 设 定 值 与 
connect_timeout 类 似 ， 不 过 一 个 是 管理 主动 联机 ， 一 个 管理 被 动 联 机 。 
data_connection_timeout=300 


4 (不 论 主动 还 是 被 动 联 
沁 )， 但 是 


可 能 由 于 线路 问题 导致 300 和 内 还 是 无 法 顺利 的 完成 数据 的 传送 ， 导 客 
户 端 和 


联机 就 会 锐 我 们 的 vsftpd 强制 剔除 ! 


idle session_timeout=300 


ee 300 秒 内 都 没有 命令 动作 ， 强 制 脱 机 ! 避免 占 着 节 坑 不 拉 
| 六 一 





max_clients=0 


如 果 vsftpd 是 以 stand alone 方式 启动 的 ， 那 么 这 个 设 定 项 目 可 以 设 定 同 





时 间 ， 最 多 有 多 少 dlient 可 以 同时 连 上 vsftpd 哩 ! 限制 使 用 FTP 的 用 


量 ! 
max_per_ ip=0 

与 上 面 max_clients 类 似 ， 这 里 是 同一 个 IP 同一 时 间 可 允许 多 少 联机 ? 
pasv_min_port=0, pasv_max_port=0 


上 面 两 个 是 与 passive mode 使 用 的 port number 有 关 ， 如 果 你 想 要 使 用 
65400 


到 65410 这 11 个 port 来 进行 被 动 式 联机 模式 的 连接 ， 可 以 这 样 设 定 


pasv_max_port=65410 以 及 pasv_min_port=65400。 如 果 是 0 的 话 ， 表 示 
随机 


取 用 而 不 限制 。 
ftpd_banner= 一 些 文字 说 明 


当 使 用 者 联机 进入 到 vsftpd 时 ， 在 FIP 客户 端 软件 上 头 会 显示 的 说 明 
文字 。 


不 过 ， 这 个 设 定 值 数据 比较 少 啦 ! 建议 你 可 以 使 用 底下 的 ”banner file 
设 定 值 


来 取代 这 个 项 目 ; 
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banner_file=/path/file 


这 个 项 目 可 以 指定 某 个 纯 文本 档 作为 使 用 者 登入 vsftpd 服务 器 时 所 显示 
A ZX 人 


同时 ， 也 能 够 放置 一 些 让 使 用 者 知道 本 FTP 服务 器 的 目录 架 
条 ! 


与 实体 用 户 较 相关 的 设 定 值 
guest_enable=YES (NO) 


0 YES 时 ， 那 么 任何 实体 账号 ， 均 会 被 假设 成 为 guest 喔 
(所 以 


0 届 是 不 开放 的 )! 至 于 访客 在 vsftpd 当中 ， 预 设 会 取得 ftp 这 个 使 用 者 


相关 权限 。 但 可 以 透 过 guest_username 来 修改 。 
guest_username=ftp 

在 guest_enable=YES 时 才 会 生效 ， 指 定 访客 的 身份 而 已 。 
local_enable=YES (NO) 


这 个 设 定 值 必须 要 为 YES 时 ， 在 /etc/passwd 内 的 账号 才能 以 实体 用 户 
的 方式 


登入 我 们 的 vsftpd 服务 器 喔 ! 
local max_ rate=0 


实体 用 户 的 传输 速度 限制 ， 单 位 为 bytes/second， 0 为 不 限制 。 


chroot local _user=YES (NO) 


在 预 设 的 情况 下 ， 是 否 要 将 使 用 者 限制 在 自己 的 家 目录 之 内 (chroob? 
如 果 是 


YES 代表 用 户 上 默认 就 会 被 chroot， 如 果 是 NO， 则 预 设 是 没有 chroot。 
不 过 ， 


实际 还 是 需要 底下 的 两 个 参数 互相 参考 才 行 。 为 了 安全 性 ， 这 里 应 该 要 
设 定 成 


YES 才 好 。 
chroot_list_enable=YES (NO) 


是 否 启 用 chroot 写 入 列表 的 功能 ? 与 底下 的 chroot list_flie 有 关 ! 这 个 
项 


目 得 要 开启， 否则 底下 的 列表 档案 会 无 效 。 














chroot_list_file=/etc/vsftpd.chroot_list 
如 有 果 chroot_list_enable=YES 那么 就 可 以 设 定 这 个 项 目 了 ! 这 个 项 目 与 
chroot_local_user 有 关 ， 详 细 的 设 定 状态 请 参考 21.2.6 chroot 的 说 明 。 
userlist_enable=YES (NO) 


是否 厌 助 vsftpd 的 抵挡 机 制 来 处 理 某 些 不 受 欢迎 的 账号 ， 与 底下 的 参数 


设 定 有 
关 ; 


userlist_deny=YES (NO) 








当 userlist_enable=YES 时 才 会 生效 的 设 定 ， 知 此 设 定 值 为 YES 时 ， 则 
当 使 用 


者 账号 被 列 入 到 茶 个 档案 时 ， ”在 该 档案 内 的 使 用 者 将 无 法 登入 vsftpd 


服务 器 ! 
该 档案 文件 名 与 下 列 设 定 项 目 有 关 。 
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userlist_file=/etc/vsftpd/user_list 


若 上 耐 userlist_deny=YES 时 ， 则 这 个 档案 束 有 用 处 了 ! 在 这 个 档案 内 
的 账号 


都 无 法 使 用 vsftpd 喔 ! 


匿名 者 登入 的 设 定 值 
anonymous_enable=YES (NO ) 


设 定 为 允许 anonymous 登入 我 们 的 vsftpd 主机 ! 预 设 是 YES ， 旗 下 的 
所 有 相 


关 设 定 都 需要 将 这 个 设 定 为 anonymous_enable=YES 之 后 才 会 生效 ! 
anon_world_readable_only=YES (NO) 

仅 人 允许 anonymous 具有 下 载 可 读 档案 的 权限 ， 预 设 是 YES。 
anon_other_ write_enable=YES (NO) 


和 anonymous 具有 除了 写 入 之 外 的 权限 ? 包括 删除 与 改写 服务 器 


案 及 档 名 等 权限 。 预 设 当 然 是 NO! 如 果 要 设 定 为 YES， 那 么 开放 给 
anonymous 写 


入 的 目录 亦 需要 调整 权限 ， 让 vsftpd 的 PID 拥有 者 可 以 写 入 才 行 ! 


anon_mkdir write_enable=YES (NO) 





是 否 让 anonymous 具有 建立 目录 的 权限 ? 默认 值 是 NO! 如 果 要 设 定 为 
YES， 那 


么 anony_other_write_enable 必须 设 定 为 YES ! 
anon_upload_enable=YES (NO) 


是 否 让 anonymous 具有 上 传 数据 的 功能 ， 默 认 是 NO， 如 果 要 设 定 为 
YES ， 则 


anon_other_write_enable=YES 必须 设 定 。 
deny_email_enable=YES (NO) 
将 某 些 特殊 的 email address 抵挡 住 ， 不 让 那些 anonymous 登入 ! 如 果 以 


a 登入 服务 器 时 ， 不 是 会 要 求 输入 密码 吗 ? 密码 不 是 要 你 输入 
尔 的 


email address 吗 ? 如 果 你 很 讨厌 某 些 email address， 就 可 以 使 用 这 个 设 
定 


来 将 他 取消 登入 的 权限 ! 需 与 下 个 设 定 项 目 配合 : 
banned_email_file=/etc/vsftpd/banned_emails 


如 果 deny_email enable=YES 时 ， 可 以 利用 这 个 设 定 项 目 来 规定 哪个 
email 


address 不 可 登入 我 们 的 vsftpd 喔 ! 在 上 面 设 定 的 档案 内 ， 一 行 输入 一 
| 


email address 即 可 ! 
no_anon_password=YES (NO) 


当 设 定 为 YES 时 ， 表 示 anonymous 将 会 略 过 密码 检验 步骤 ， 而 直接 进 
入 vsftpd 


服务 器 内 喔 ! 所 以 一 般 预 设 都 是 NO 的 ! (登入 时 会 检查 输入 的 emai) 
anon max rate=0 


这 个 设 定 值 后 面 接 的 数值 单位 为 bytes/ 秒 ， 限 制 anonymous 的 传输 速 
0 


让 
- 文 》 
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果 是 0 则 不 限制 (由 最 大 带宽 所 限制 )， 如 果 你 想 让 anonymous 仪 有 30 
KB/s 





的 速度 ， 可 以 设 定 『anon_max _rate=30000 
anon_Umask=077 


限制 anonymous 上 传 档案 的 权限 ! 如 果 是 077 则 anonymous 传送 过 来 
的 档案 


权限 会 是 -rw------- 喔 ! 


关于 系统 安全 方面 的 一 些 设 定 值 
ascii download_enable=YE9S (NO) 


YES ， 那 么 dient 就 优先 ( 预 设 ) 使 用 ASCII 格式 下 载 文 


ascii_upload_enable=YES (NO) 
与 上 一 个 设 定 类 似 的 ， 只 是 这 个 设 定 针对 上 传 而 言 ! 预 设 是 NO 
one_process_model=YES (NO) 


这 个 设 定 项 目 比 较 危 险 一 点 一 当 设 定 为 YES 时 ， 表 示 每 个 建立 的 联机 
都 会 拥有 





一 文 process 在 负责 ， 可 以 增加 vsftpd 的 效能 。 不 过 ， 除非 你 的 系统 比 





全 ， 而 且 便 件 配 备 比 较 高 ， 人 否则 容易 耗 尽 系统 资源 喔 ! 一 般 建 议 设 定 为 
NO 的 图 ! 


tcp_wrappers=YES (NO) 
当然 我 们 都 习惯 支持 TCP Wrappers 的 啦 ! 所 以 设 定 为 YES 吧 ! 
xferlog_enable=YES (NO) 


当 发 定 忆 YES 时 ， 使 用 者 上 传 与 下 载 文件 都 会 被 纪录 起 来 。 记 录 的 档 


个 设 定 项 目 有 关 : 
xferlog_file=/var/log/xferlog 


如 果 上 一 个 xferlog_enable=YES 的 话 ， 这 里 束 可 以 设 定 了 ! 这 个 是 登录 
档 的 档 


名 啦 ! 
xferlog_std_ format=YES (NO) 


是 否 设 定 为 wu ftp 相同 的 登录 档 格 式 ? 预 设 为 NO ， 因 为 登录 档 会 比较 
容易 读 ! 


不 过 ， 如 果 你 有 使 用 wu ftp 登录 文件 的 分 析 软 件 ， 这 里 才 需 要 设 定 为 
YES 


dual_log_enable=YES, vsftpd_log file=/var/log/vsftpd.log 
除了 /var/log/xferlog 的 wu-ftp 格式 登录 档 之 外 ， 还 可 以 具有 vsftpd 的 独 


特 登 录 档 格式 喔 ! 如 果 你 的 FTP 服务 器 并 不 是 很 忙碌 ， 或 许 订 出 两 个 
登录 档 的 


撰写 (/var/log/{vsftpd.log,xferlog) 是 不 错 的 。 
nopriv_user=nobody 


我 们 的 vsftpd 预 设 以 nobody 作为 此 一 服务 执行 者 的 权限 。 因 为 nobody 
的 权 


限 相当 的 低 ， 因 此 即使 被 入 侵 ， 入 侵 者 仅 能 取得 nobody 的 权限 喔 ! 
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pam_service_name=vsftpd 
这 个 是 pam 模块 的 名 称 ， 我 们 放置 在 /etc/pam.d/vsftpd 即 是 这 个 哆 哆 ! 


上 面 这 些 是 常见 的 vsftpd 的 设 定 参数 ， 还 有 很 多 参数 我 没有 列 出 来 ， 你 
可 以 使 用 


man 5 vsftpd.conf 碍 阅 喔 ! 不 过 ， 基 本 上 上 面 这些 参 数 己 经 够 我 们 设 定 
vsftpd 吵 。 


21.2.4 vsftpd 启动 的 模式 


vsftpd 可 以 使 用 stand alone 或 super daemon 的 方式 来 启动 ， 我 们 
CentOS 预 


设 是 以 stand alone 来 启动 的 。 那 什 么 时 候 应 该 选择 stand alone 或 者 是 
super 


daemon 呢 ? 如 果 你 的 ftp 服务 器 是 提供 给 整个 因特网 来 进行 大 量 下 载 的 
任务 ， 例 如 各 


大 专 院 校 的 FTP 服务 器 ， 那 建议 你 使 用 stand alone 的 方式 ， 服务 的 速 
度 上 会 比较 


好 。 如 果 仅 是 提供 给 内 部 人 员 使 用 的 FTP 服务 器 ， 那 使 用 super daemon 
来 管理 即 可 


啊 。 


利用 CentOS 提供 的 script 来 启动 vsftpd (stand alone) 

其 实 CentOS 不 用 作 任 何 设 定 就 能 够 局 动 vsftpd 哆 ! 是 这 样 局 动 的 啦 : 
[root@www ~]# /etc/init.d/vsftpd start 

[root@www ~ 1# netstat -tulnp| grep 21 

tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 11689/vsftpd 


# 看 到 喝 ， 是 由 vsftpd 所 启动 的 呢 ! 





自行 设 定 以 super daemon 来 启动 (有 必要 再 进行 ， 不 用 实 作 ) 


如 果 你 的 FTP 是 很 少 被 使 用 的 ， 那 么 利用 super daemon 来 管理 不 失 为 
一 个 好 主 


意 。 不 过 若 你 想 要 使 用 super daemon 管理 的 话 ， 那 就 得 要 自行 修改 一 
下 配置 文件 了 。 


其 实 也 不 难 啦 ， 你 应 该 要 这 样 处 理 的 : 





[root@www ~]# vim /etc/vsftpd/vsftpd.conf 
# 找到 listen=YES 这 一 行 : 大 约 在 109 行 左 右 啦 ， 并 将 它 改 成 ; 
listen=NO 
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D 
接 下 来 修改 一 下 super daemon 的 配置 文件 ， 底 下 这 个 档案 你 必须 要 自行 





建立 的 ， 原 本 
征 不 存在 的 喔 : 


[root@www ~]# yum install xinetd <== 假 设 xinetd 没有 安装 时 





[root@www ~]# vim /etc/xinetd.d/vsftpd 
service ftp 

| 

socket_type = Stream 

wait = DO 

User = root 

server = /usr/sbin/vsftpd 

log_on_success += DURATION USERID 
log_on_ failure += USERID 

nice = 10 

disable = no 

和 

然后 尝试 局 动 看 看 呢 : 








[root@www ~]# /etc/init.d/vsftpd stop 
[root@www ~|]# /etc/init.d/xinetd restart 
[root@www ~]# netstat -tulnp| grep 21 


tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 32274/xinetd 





有 趣 吧 ! 两 者 启动 的 方式 可 不 一 样 啊 ! 管理 的 方式 就 会 送 很 多 的 哟 ! 不 
管 你 要 使 用 哪 种 


局 动 的 方式 ， 切 记 不 要 两 者 同时 启动， 否则 会 发 生 错 误 的 ! 你 应 该 使 用 
chkconfig 


--list 检查 一 下 这 两 种 启动 的 方式 ， 然 后 依据 你 的 需求 来 决定 用 哪 一 种 方 
式 启 动 。 鸟 


哥 底 下 的 设 定 都 会 以 stand alone 这 个 CentOS 默认 的 启动 模式 来 处 理 ， 
所 以 赶紧 将 


刚刚 的 动作 给 他 改 回 来 咀 ! 
21.2.5 CentOS 的 vsftpd 默认 值 


在 CentOS 的 默认 值 当中 ，vsftpd 是 同时 开放 实体 用 户 与 匿名 用 户 的 ， 
CentOS 的 


默认 值 如 下 : 








[root@www ~]# vim /etc/vsftpd/vsftpd.conf 

#1. 与 匿名 者 有 关 的 信息 : 
anonymous_enable=YES <== 文 持 匿名 者 的 登入 使 用 FTP 功能 
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#2. 与 实体 用 户 有 关 的 设 定 
local_enable=YES <== 文 持 本 地 端的 实体 用 户 登 入 
write_enable=YES <== 人 允许 用 户 上 传 数据 (包括 档案 与 目录 ) 
local_umask=022 <== 建 立新 目录 (755) 与 档案 (644) 的 权限 

# 3. 与 服务 器 环境 有 关 的 设 定 


dirmessage_enable=YES <== 奉 目录 下 有 .message 则 会 显示 该 档案 的 
内 容 


xferlog_enable=YES <== 启 动 登录 文件 记录 ， 记 录 于 





/var/log/xferlog 

connect_from_port_20=YES <== 文 持 主 动 式 联机 功能 
xferlog_std_format=YES <== 文 持 WuFTP 的 登录 档 格 式 
listen=YES <== 使 用 stand alone 方式 启动 vsftpd 
pam_service_name=vsftpd <== 支 持 PAM 模块 的 管理 
userlist_enable=YES <== 支 持 /etc/vsftpd/user_list 档案 内 的 
账号 登入 管控 ! 

tcp_wrappers=YES <== 支 持 TCP Wrappers 的 防火 墙 机 制 


上 面 各 项 设 定 值 请 自行 参考 21.2.3 的 详细 说 明 吧 。 而 通过 这 样 的 设 定 值 
咱们 的 


vsftpd 可 以 达到 如 下 的 功能 : 

你 可 以 使 用 anonymous 这 个 匿名 账号 或 其 他 实体 账号 (/etc/passwd) 登 
入 ; 
anonymous 的 家 目录 在 /var/ftp ， 且 无 上 传 权 限 ， 亦 已 经 被 chroot 








了 


实体 用 户 的 家 目录 参考 /etc/passwd， 并 没有 被 chroot， 可 前 往 任 何 有 
权 


限 可 进入 的 目录 中 ; 


任何 于 /etc/vsftpd/ftpusers 内 存在 的 账号 均 无 法 使 用 vsftpd (PAM); 

可 利用 /etc/hosts.{allow|deny} 来 作为 基础 防火 墙 ; 

当 客 户 端 有 任何 上 传 /下 载 信息 时 ， 该 信息 会 被 纪录 到 /var/log/xferlog 
中 ; 

主动 式 联 机 的 埠 口 为 port 20; 

使 用 格林 威 治 时 间 (GMT)。 


。 ur 自动 vsftpd 后 ， 你 的 实体 用 户 就 能 够 直接 利用 vsftpd 这 个 服务 
且 


他 自己 的 数据 了 。 不 过 比较 大 的 问题 是 ， 因 为 vsftpd 预 设 使 用 GMT 时 
间 ， 因 为 你 在 


客户 端 使 用 ftp 软件 连接 到 FTP 服务 器 时 ， 会 发 现 每 个 档案 的 时 间 都 慢 
可 了 国 了 于: 


真是 讨厌 啊 ! ”所 以 建议 你 加 设 一 个 参数 值 ， 束 是 「『 use_localtime=YES 
路 ! 


[root@www ~]# vim /etc/vsftpd/vsftpd.conf 

# 在 这 个 档 采 当中 的 最 后 一 行 加 入 这 一 句 即 可 
use_localtime=YES 

[root@www ~]# /etc/init.d/vsftpd restart 
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0 


[root@www ~]# chkconfig vsftpd on 


如 此 一 来 你 的 FTP 服务 器 不 但 可 以 提供 匿名 账号 来 下 载 /var/ftp 的 数 





据 ， 如 果 使 用 


实体 账号 来 登入 的 话 ， ”就 能 够 进入 到 该 用 户 的 家 目录 撒 下 去 了 ! 真是 
很 简单 方便 的 一 


个 设 定 啊 ! 且 使 用 本 地 端 时 间 呢 ! 和 ^^ 


另外 ， 如 果 你 预计 要 将 FTP 开放 给 Internet 使 用 时 ， 请 注意 得 要 开放 防 
火 墙 喔 ! 


天 于 防火 墙 的 建 置 情 况 ，“ 由 于 牵涉 到 数据 流 的 主动 、 被 动 联 机 方式 ， 
因此 ， 还 得 要 加 


入 防火 墙 模块 。 这 部 份 我 们 在 后 续 的 .21.2.8 小 节 和 再 加 以 介绍 ， 反 正 ， 最 
终 记 得 要 开放 


FTP 的 联机 要 求 束 对 了 ! 
21.2.6 针对 实体 账号 的 设 定 


虽然 在 CentOS 的 默认 情况 当中 实体 用 户 已 经 可 以 使 用 FTP 的 服务 了 ， 
不 过 我 们 


可 能 还 需要 一 些 额外 的 功能 来 限制 实体 用 户 。 ”举例 来 说 ， 限 制 用 户 无 
法 离开 家 目录 


(chroot)、 限 制 下 载 速率 、 限 制 用 户 上 传 档案 时 的 权限 (mask) 等 等 。 撒 
下 我 们 先 列 


出 一 些 希 望 达 到 的 功能 ， 然 后 再 继续 进行 额外 功能 的 处 理 : 
希望 使 用 台湾 本 地 时 间 取 代 GMT 时 间 ; 
用 户 登 入 时 显示 一 些 欢 迎 讯息 的 信息 ; 
系统 账号 不 可 登入 主机 ( 亦 即 UID 小 于 500 以 下 的 账号 ); 
一 般 实体 用 户 可 以 进行 上 传 、 下 载 、 建 立 目 录 及 修改 档案 等 动作 ; 





用 户 新 增 的 档案 、 目 录 之 umask 希望 设 定 为 002; 
其 他 主机 设 定 值 保留 默认 值 即 可 。 


你 可 以 自行 处 理 vsftpd.conf 这 个 档案 ， 以 下 则 是 一 个 范例 。 注 意 ， 如 果 
你 的 


vsftpd.conf 没有 相关 设 定 值 ， 请 自行 补 上 吧 ! OK! 让 我 们 开始 一 步 一 
步 来 依 序 处 理 


先 : 
1. 先 建立 主 配置 文件 ”vsftpd.conf， 这 个 配置 文件 已 经 包含 了 主要 设 定 
值 : 


[root@www ~]# vim /etc/vsftpd/vsftpd.conf 

# 工 . 与 匿名 者 相关 的 信息 ， 在 这 个 案例 中 将 匿名 登录 取消 : 
anonymous_enable=NO 

# 2. 与 实体 用 户 相关 的 信息 : 可 写 入 ， 且 umask 为 002 喔 ! 
local_enable=YES 

write_enable=YES 

local_umask=002 

userlist_enable=YES 
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userlist_deny=YES 

userlist_file=/etc/vsftpd/user_list <== 这 个 档案 必须 存在 ! 还 好 ， 预 设 


有 此 档案 ! 


# 3. 与 服务 器 环境 有 关 的 设 定 
use_localtime=YES 
dirmessage_enable=YES 
xferlog_enable=YES 
connect_from_port_20=YES 
xferlog_std_format=YES 
listen=YES 
pam_service_name=vsftpd 


tcp_wrappers=YES 





banner file=/etc/vsftpd/welcome.txt <== 这 个 档案 必须 存在 ! 需 手动 建 
| 


[root@www ~]# /etc/init.d/xinetd restart <== 取 消 super dameon 
[root@www ~]# /etc/init.d/vsftpd restart 
2. 建立 欢迎 讯 奶 : 


当 我 们 想 让 登入 者 可 查阅 咱们 系统 管理 员 所 下 达 的 『 公 告 」 事 项 时 ， 可 
以 使 用 这 


个 设 定 ! 那 就 是 banner_file=/etc/vsftpd/welcome.txt 这 个 参数 的 用 途 了 ! 


我 们 可 以 编辑 这 个 档案 即 可 。 好 了 ， 开 始 来 建立 欢迎 男 面 吧 ! 








[root@www ~]# vim /etc/vsftpd/welcome.txt 
欢迎 光临 本 小 站 ， 本 站 提供 FTP 的 相关 服务 ! 
主要 的 服务 是 针对 本 机 实体 用 户 提 供 的 ， 





奉 有 任何 问题 ， 请 与 鸟 哥 联络 ! 
3. 建立 限制 系统 账号 登入 的 档案 


再 来 是 针对 系统 账号 来 给 予 抵挡 的 机 制 ， 其 实 有 两 个 档案 啦 ， 一 个 是 
PAM 模块 


管 的 ， 一 个 是 vsftpd 主动 提供 的 ， 在 预 设 的 情况 下 这 两 个 档案 分 别 
日 
XE : 


o /etc/vsftpd/ftpusers: 就 是 /etcpam.d/vsftpd 这 个 档案 的 设 定 
所 影响 的 ; 

o /etc/vsftpd/user_list: 由 vsftpd.conf 的 userlist_file 所 设 

定 。 
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这 两 个 档案 的 内 容 是 一 样 的 哩 一 并 且 这 两 个 档案 必须 要 存在 才 行 。 请 你 
参考 你 的 


/etc/passwd 配置 文件 ， 然后 将 UID 小 于 500 的 账号 名 称 给 他 同时 写 到 
这 两 


个 档案 内 吧 ! 一 行 一 个 账号 ! 





[root@www ~]# vim /etc/vsftpd/user_list 


root 
bin 
…( 底 下 省 略 )..… 


4. 测试 结果 : 
你 可 以 使 用 图 形 接口 的 FTP 客户 端 软件 来 处 理 ， 也 可 以 透 过 Linux 本 刁 


提供 的 


ftp 客户 端 功能 哩 ! 关于 _ftp 指令 我 们 已 经 在 第 五 童 谈 过 了 ， 你 可 以 自 
行 前 往 


参考 。 这 里 直接 测试 一 下 吧 : 

# 测试 使 用 己 知 使 用 者 登入 ， 例 如 dmtsai 这 个 实体 用 户 : 
[root@www ~]# ftp localhost 

Trying 127.0.0.1... 

Connected to localhost (127.0.0.1). 


220- 欢 迎 光 临 本 小 站 ， 本 站 提供 FTP 的 相关 服务 ! <== 刚 刚 建立 的 欢迎 
讯 


息 
4DO 





220- 主 要 的 服务 是 针对 本 机 实体 用 户 提供 的 ， 

220- 知 有 任何 问题 ， 请 与 马 哥 联络 ! 

220 

Name (localhost:root): Student 

331 Please specify the password. 

Password: <== 输 入 密码 哆 在 这 里 ! 

500 OOPS: cannot change directory:/home/student <== 有 讲 登 入 失败 的 原 
蚂 ! 

Login failed. 


ftp> bye 


221 Goodbye. 


由 于 默认 一 般 用 户 无 法 登入 FTP 的 ! 因为 SELinux 的 问题 啦 ! 请 参考 
下 直 光 S 

的 方式 来 处 理 。 然后 以 上 面 的 方式 测试 完毕 后 ， 你 可 以 在 登入 者 账号 
处 分 别 填 

写 (1)root (2)anonymous 来 尝试 登入 看 看 ! 如 果 不 能 登入 的 话 ， 那 束 是 
设 定 

OK 的 啦 ! (root 不 能 登入 是 因为 PAM 模块 以 及 user_list 设 定 值 的 关 
系 ， 而 

匿名 无 法 登入 ， 是 因为 我 们 vsftpd.conf 里 头 就 是 设 定 不 能 用 匿名 登录 
嘛 ! ) 
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上 面 是 最 简单 的 实体 账号 相关 设 定 。 那 如 果 你 还 想 要 限制 用 户 家 目录 的 
chroot 或 


其 他 如 速 限 等 数据 ， 束 得 要 看 看 后 下 的 特殊 设 定 项 目 哆 。 


实体 账号 的 SELinux 议题 


在 预 设 的 情况 下 ，CentOS 的 FTP 是 不 允许 实体 账号 登入 取得 家 日 录 数 
据 的 ， 这 是 


因为 SELinux 的 问题 啦 ! 如 果 你 在 刚刚 的 ftp localhost 步骤 中 ， 在 bye 
离开 FTP 


之 前 下 达 过 『 dir 」 的话 ， 那 你 会 发 现 没 有 任何 资料 跑 出 来 一 这 并 不 是 
你 错 了 ， 而 是 


SELinux 不 太 对 劲 的 缘故 。 那 如 何 解决 呢 ? 这 样 处 理 即 可 : 


[root@www ~]# getsebool -a | grep ftp 
allow_ftpd_anon_write --> off 

allow_ftpd_full_access --> off 

allow_ftpd_use_cifs --> off 

allow_ftpd_use_nfs --> off 

ftp_home_dir --> off <== 就 是 这 玩意 儿 ! 要 设 定 on 才 行 ! 
…( 底 下 省 略 )..… 

[root@www ~]# setsebool -P ftp_home_dir=1 


这 样 就 搞定 鄂 ! 如 果 还 有 其 他 可 能 发 生 错 误 的 原因 ， 包 括 档 案 数 据 使 用 
mv 而 非 使 用 cp 


导致 SELinux 文件 类 型 无 法 继承 原 有 目录 的 类 型 时 ， 那 就 请 自行 查阅 


/Var/log/messages 的 内 容 吧 ! 通常 SELinux 没有 这 么 难处 理 的 啦 ! 和 人 








对 用 户 (包括 未 来 新 增 用 户 ) 进行 chroot 


在 乌 哥 接触 的 一 般 FIP 使 用 环境 中 ， 大 多 数 都 是 要 开放 给 三 商 联 机 来 
使 用 的 ， 给 


目 己 人 使 用 的 机 会 虽然 也 有 ， ”不 过 使 用 者 数量 通 和 比较 少 一 些 。 所 以 
吃 ， 乌 哥 现 在 都 


是 建议 默认 让 实体 用 户 通 通 被 chroot， 而 允许 不 必 chroot 的 账号 才 需 要 
额外 设 定 。 


这 样 的 好 处 是 ， 新 建 的 账号 如 果 瑟 记 进 行 chroot， 反 正 原 本 就 是 
chroot， 比较 不 用 


担心 如 果 该 账号 是 开 给 广 商 时 该 怎 办 的 问题 。 


现在 假设 我 系统 里 面 仅 有 vbird 与 dmtsai 两 个 账号 不 要 被 chroot， 其 他 
如 


student, smb1... 等 账号 通通 预 设 是 chroot 的 啦 ， 包 括 未 来 新 增 账号 也 全 
部 预 设 


chroot! 那 该 如 何 设 定 ? 很 简单 ， 三 个 设 定 值 加 上 一 个 额外 配置 文件 就 
搞定 了 ! 步骤 如 


下 5 

#1. 修改 vsftpd.conf 的 参数 值 : 
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[root@www ~]# vim /etc/vsftpd/vsftpd.conf 

# 增加 是 否 设 定 针 对 某 些 使 用 者 来 chroot 的 相关 设 定 囚 ! 
chroot_local_user=YES 

chroot_list_enable=YES 


chroot_list_file=/etc/vsftpd/chroot_list 


#2 建立 不 被 chroot 的 使 用 者 账号 列表 ， 即 使 没有 任何 账号 ， 此 档案 也 
全 


要 存在 ! 

[root@www ~]# vim /etc/vsftpd/chroot_list 
vbird 

dmtsai 


[root@www ~]# /etc/init.d/vsftpd restart 


如 此 一 来 ， 除 了 dmtsai 与 vbird 之 外 的 其 他 可 用 FTP 的 账号 者 ， 通 通 会 
被 chroot 


在 他 们 的 家 目录 下 ， ”这 样 对 系统 比较 好 啦 ! 接 下 来 ， 请 你 自己 分 别 使 
用 有 与 没有 被 


chroot 的 账号 来 联机 测试 看 看 。 


限制 实体 用 户 的 总 下 载 流量 (带宽 ) 


你 可 不 希望 带宽 被 使 用 者 上 传 /下 载 所 耗 尽 ， 而 影响 咀 们 服务 器 的 其 他 
正常 服务 吧 ? 


所 以 限制 使 用 者 的 传输 带宽 有 时 也 是 需要 的 ! ”假设 『 我 要 限制 所 有 使 
用 者 的 总 传输 带 


宽 最 大 可 达 1 MBytes/ 秒 」 时 ， 你 可 以 这 样 做 即 可 : 
[root@www ~]# vim /etc/vsftpd/vsftpd.conf 

# 增加 底下 这 一 个 参数 即 可 : 

local_max_rate=1000000 <== 记 住 喔 ， 单 位 是 bytes/second 
[root@www ~]# /etc/init.d/vsftpd restart 


上 述 的 单位 是 Bytes/ 秒 ， 所 以 你 可 以 依据 你 自己 的 网 络 环境 来 限制 你 的 
带宽 ! 这 样 就 

给 他 限制 好 喝 ! 有 够 容易 吧 ! 。 那 怎么 测试 啊 ? 很 简单 ， 用 本 机 测试 最 
准 ! 你 可 以 用 dd 


做 出 一 个 10MB 的 档案 放 在 student 的 家 目录 下 ， 然 后 用 root 下 达 ftp 


localhost, 


并 输入 student 的 帐 密 ， 接 下 来 给 他 get 这 个 新 的 档案 ， 就 能 够 在 最 终 知 
道 下 载 的 速 


度 啦 ! 





限制 最 大 同时 上 线 人 数 与 同一 IP 的 FTP 联机 数 
net.qiang(Ohotmail.com 


如 果 你 有 限制 最 大 使 用 带宽 的 话 ， 那 么 你 可 能 还 需要 限制 最 大 在 线 人 数 
必得 -将 例 


来 说 ， 你 希望 最 多 只 有 10 个 人 同时 使 用 你 的 FTP 的 话 ， 并 且 每 个 IP 来 
源 最 多 只 能 


建立 一 条 FTP 的 联机 时 ， 那 你 可 以 这 样 做 : 








[root@www ~]# vim /etc/vsftpd/vsftpd.conf 
# 增加 底下 的 这 两 个 参数 : 
max_clients=10 

max per_ip=1 

[root@www ~]# /etc/init.d/vsftpd restart 


这 样 就 搞定 了 ! 让 你 的 FTP 不 会 人 满 为 患 响 ! 


建立 严格 的 可 使 用 FTP 的 账号 列表 


在 预 设 的 环境 当中 ， 我 们 是 将 『 不 许 使 用 FTP 的 账号 写 入 
/etc/vsftpd/user_list 


档案 ， 所 以 没有 写 入 ”/etc/vsftpd/user_list ”当中 的 使 用 者 就 能 够 使 用 
FIP 了 ! 如 


此 一 来 ， 未 来 新 增 的 使 用 者 预 设 者 能够 使 用 FTP 的 服务 。 如 果 换 个 角 


度 来 思考 ， 重 我 


想 只 让 某 些 人 可 以 使 用 FTP 而 已 ， 亦 即 是 新 增 的 使 用 者 预 设 不 可 使 用 
FTP 这 个 服务 的 


话 那 么 应 该 如 何 作 呢 ?你 需要 修改 配置 文件 成 为 这 样 : 





[root@www ~]# vim /etc/vsftpd/vsftpd.conf 
# 这 几 个 参数 必须 要 修改 成 这 样 : 
userlist_enable=YES 

userlist_deny=NO 

userlist_ file=/etc/vsftpd/user_list 
[root@www ~]# /etc/init.d/vsftpd restart 


则 此 时 『 写 入 /etc/vsftpd/user_list 变 成 可 以 使 用 FTP 的 账号 ] 了 ! 所 以 
未 来 新 


增 的 使 用 者 如 果 要 能 够 使 用 FTP 的 话 ， 就 必须 要 写 入 
/etc/vsftpd/user_list 才 行 ! 


使 用 这 个 机 制 请 特别 小 必 ， 否 则 容易 搞 混 挥 一 


透 过 这 几 个 简单 的 设 定 值 ， 相 信 vsftpd 已 经 可 以 符合 大 部 分 合法 FTP 
网 站 的 需 


求 哆 ! 更 多 详细 的 用 法 则 请 参考 man 5 vsftpd.conf 吧 ! 

例题 : 

假设 你 因为 某 些 特殊 需求 ， 所 以 必须 要 开放 root 使 用 FTP 传输 档案 ， 
那么 你 应 该 要 如 何 处 理 ? 


似 : 


已 
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必 

由 于 系统 账号 无 法 使 用 FTP 是 因为 PAM 模块 与 vsftpd 的 内 建功 能 所 
致 ， 亦 即 是 /etc/vsftpd/ftpusers 及 /etc/vsftpd/user_list 这 两 个 档案 


的 影响 。 所 以 你 只 要 进入 这 两 个 档案 ， 并 且 将 root 那 一 行 批注 挥 ， 那 
root 就 


可 以 使 用 vsftpd 这 个 FTP 服务 了 。 不 过 ， 不 建议 如 此 作 喔 ! 
21.2.7 仅 有 匿名 登录 的 相关 设 定 
虽然 你 可 ee 与 匿名 用 户 ， 不 过 建议 你 ， 服 务 器 还 是 依 


据 需 求 ， 


对 单一 种 身份 来 设 定 吧 ! ”底下 我 们 将 针对 匿名 用 户 来 设 定 ， 且 不 开放 
实体 用 户 。 一 般 


来 说 ， 这 种 设 定 是 给 类 似 大 专 院 校 的 FTP 服务 器 来 使 用 的 哩 ! 

使 用 台湾 本 地 的 时 间 ， 而 非 GMT 时 间 ，; 

提供 欢迎 讯 忠 ， 说 明 可 提供 下 载 的 信息 ; 

仅 开 放 anonymous 的 登入 ， 且 不 需要 输入 密码 ; 

文件 传输 的 速 限 为 1 Mbytes/second; 

数据 连接 的 过 程 (不 是 命令 通道 ! ) 只 要 超过 60 秒 没 有 啊 应 ， 就 强制 
Client 断 线 ! 

只 要 anonymous 超过 十 分 钟 没 有 动作 ， 就 予以 断 线 ; 
最 大 同时 上 线 人 数 限制 为 50 人 ， 且 同一 IP 来 源 最 大 联机 数量 为 5 




















默认 的 FTP 匿名 者 的 根 目 录 所 在 : ftp 账号 的 家 目录 


OK! 那 如 何 设 定 呢 ? 首先 我 们 必须 要 知道 的 是 匿名 用 户 的 目录 在 哪 
里 ? 事实 上 匿 


名 者 默认 登入 的 根 目 录 是 以 ftp 这 个 用 户 的 家 目录 为 主 ， 所 以 你 可 以 使 
用 『 finger 


ftp 」 来 查阅 。 咀 们 的 CentOS 默认 的 匿名 者 根 目录 在 /var/ftp/ 中 。 且 匿 
名 登录 者 


在 使 用 FTP 服务 时 ， 他 预 设 可 以 使 用 『 ftp 」 这 个 使 用 者 号 份 的 权限 
喔 ， 只 是 被 


chroot 到 /var/ftp/ 目录 中 束 是 了 。 


人 /varftp/ 当中 浏览 ， 所 以 你 必须 将 要 提供 给 用 户 下 载 
岳 


通通 给 放置 到 /var/ftp/ 去 。 假设 你 已 经 放置 了 linux 的 相关 目录 以 及 
gnu 的 相关 


软件 到 该 目录 中 了 ， 那 我 们 可 以 这 样 做 个 假设 : 








[root@www ~]# mkdir /var/ftp/linux 

[root@www ~]# mkdir /var/ftp/gnu 

然后 将 vsftpd.conf 的 数据 清空 ， 重 新 这 样 处 理 他 吧 : 
1. 建立 vsftpd.conf 的 设 定数 据 
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[root@www ~]# vim /etc/vsftpd/vsftpd.conf 


# 将 这 个 档案 的 全 部 内 容 改 成 这 样 : 


#1. 与 匿名 者 相关 的 信息 : 

anonymous_enable=YES 

no_anon_password=YES <== 匿 名 登录 时 ， 系 统 不 会 检验 密码 (通常 是 
email) 

anon_max_rate=1000000 <== 最 大 带宽 使 用 为 1MB/s 左右 
data_connection_timeout=60 <== 数 据 流 联机 的 timeout 为 60 秒 
idle_session_timeout=600 <== 知 匿名 者 发 采 超 过 10 分 钟 就 断 线 
max_clients=50 <== 最 大 联机 与 每 个 IP 的 可 用 联机 

max_ per_ip=5 

#2. 与 实体 用 户 相 关 的 信息 ， 本 案例 中 为 关闭 他 的 情况 ! 
local_enable=NO 

#3. 与 服务 器 环境 有 关 的 设 定 

use_localtime=YES 

dirmessage_enable=YES 

xferlog_enable=YES 

connect_from_port_20=YES 

xferlog_std_format=YES 

listen=YES 

pam_service_name=vsftpd 


tcp_wrappers=YES 


banner_file=/etc/vsftpd/anon_welcome.txt <== 档 名 有 改 喔 ! 


[root@www ~]# /etc/init.d/vsftpd restart 





2. 建立 欢迎 画面 与 下 载 提 示 讯 恩 


各 位 杀 爱 的 观众 朋友 ! 要 注意 ~ 在 这 个 案例 当中 ， 我 们 将 欢迎 讯 奶 设 定 
在 


/etc/vsftpd/anon_welcome.txt 这 个 档案 中 ， 至 于 这 个 档案 的 内 容 你 可 以 
这 样 





写 (这 个 档案 一 定 要 存在 ! 否则 会 造成 客户 端 无 法 联机 成 功 喔 ! ): 
[root@www ~]# vim /etc/vsftpd/anon_ welcome.txt 

欢迎 光临 本 站 所 提供 的 FTP 服务 ! 

本 站 主要 提供 Linux 操作 系统 相关 档案 以 及 GNU 自由 软件 喔 ! 
有 问题 请 与 站 长 联络 ! 谢谢 大 家 ! 

主要 的 目录 为 : 

linux 提供 Linux 操作 系统 相关 软件 

net.giang@hotmail.com 

gnu 提供 GNU 的 自由 软件 

uploads 提供 匿名 的 您 上 传 数据 

看 到 哆 ! 主要 写 的 数据 都 是 针对 一 些 公告 事项 就 是 了 ! 

3. 客户 端的 测试 : 密码 与 欢迎 讯 县 是 重点 ! 

同样 的 ， 我 们 使 用 ftp 这 个 软件 来 给 他 测试 一 下 吧 ! 


[root@www ~]# ftp localhost 





Connected to localhost (127.0.0.1). 


TD 
秆 


示 讯 轧 ! 

220- 本 站 主要 提供 Linux 操作 系统 相关 档案 以 及 GNU 自由 软件 喔 ! 
220- 有 问题 请 与 站 长 联络 ! 谢谢 大 家 ! 

220- 主 要 的 目录 为 : 

220- 

220-linux 提供 Linux 操作 系统 相关 软件 

220-gnu 提供 GNU 的 自由 软件 
220-uploads 提供 匿名 的 您 上 传 数据 


220 








Name (localhost:root): anonymous <== 匿 名 账号 名 称 是 要 背 的 ! 
230 Login successful. <== 没 有 输入 密码 即 可 登入 呢 ! 

Remote System type is UNIX. 

Using binary mode to transfer files. 

ftp> dir 

227 Entering Passive Mode (127,0,0,1,196,17). 

150 Here comes the directory listing. 

drwxr-xr-x 2 0 0 4096 Aug 08 16:37 gnu 


-TW-I--I-- 1 0 0 17 Aug 08 14:18 index.html 


drwxr-xr-x 2 0 0 4096 Aug 08 16:37 linux 
drwxr-xr-x 2 0 0 4096 Jun 25 17:44 pub 
226 Directory send OK. 

ftp> bye 

221 Goodbye. 


看 到 否 ? 这 次 可 就 不 需要 输入 任何 密码 了 ， 因 为 是 匿名 登录 嘛 ! 而 且 ， 
如 果 你 以 


其 他 的 账号 来 尝试 登入 时 ， 那么 _ vsftpd 会 立刻 响应 仅 开 放 匿 名 的 讯息 
喔 ! (530 








This FTP server is anonymous only.) 
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让 匿名 者 可 上 传 /下 载 目 己 的 资料 (权限 开放 最 大 ) 


在 上 列 的 数据 当中 ， 实 际 上 匿名 用 户 仪 可 进行 下 载 的 动作 而 已 。 如 果 你 
还 想 让 匿名 


者 可 以 上 传 档案 或 者 古 建 并 目录 的 话 ， ” 那 你 还 逢 要 额外 增加 一 些 设 定 








» 


可 行 ， 

[root@www ~]# vim /etc/vsftpd/vsftpd.conf 
# 新 增 底下 这 几 行 啊 ! 

write_enable=YES 
anon_other_write_enable=YES 


anon_ mkdir write_enable=YES 


anon_upload_enable=YES 
[root@www ~]# /etc/init.d/vsftpd restart 


如 果 你 设 定 上 面 四 项 参数 ， 则 会 允许 匿名 者 拥有 完整 的 建立 、 删 除 、 修 
改 档案 与 目录 的 


权限 。 不 过 ， 实 际 要 生效 还 需要 Linux 的 文件 系统 权限 正确 才 行 ! 我 
们 知道 匿名 者 


取得 的 有 身份 是 ftp ， 所 以 如 果 想 让 匿名 者 上 传 数据 到 /var/ftp/uploads/ 
中 ， 则 需要 


这 样 做 : 








[root@www ~]# mkdir /var/ftp/uploads 
[root@www ~]# chown ftp /var/ftp/uploads 


然后 你 以 匿名 者 号 份 登入 后 ， 就 会 发 现 匿名 者 的 根 目 录 多 了 一 个 
/upload 的 目录 存在 


了 ， 并 且 你 可 以 在 该 目录 中 上 传 档案 /目录 喔 ! 如 此 一 来 系统 的 权限 大 
开 ! 很 要 命 喔 ! 


所 以 ， 请 仔细 的 控制 好 你 的 上 传 目 录 才 行 ! 


不 过 ， 在 实际 测试 当中 ， 却 及 现 还 是 没 办 法 上 传 呢 ! 怎么 回 事 啊 ? 如 果 
你 有 去 看 一 


下 /var/log/messages 的 话 ， 那 就 会 发 现 啦 ! 又 是 SELinux 这 家 伙 呢 ! 怎 
么 办 ? 就 


透 过 『 sealert -1 ... 」 在 /var/log/messages 里 面 观 察 到 的 指令 丢 进 去 ， 立 
刻 就 


知道 解决 方案 啦 ! 解决 方案 就 是 放行 SELinux 的 匿名 FTP 规则 如 下 : 











[root@www ~]# setsebool -P allow_ftpd_anon_write=1 


[root@www ~]# setsebool -P allow_ftpd_full_access=1 


然后 你 再 测试 一 下 用 anonymous 登入 ， 到 /uploads 去 上 传 个 档案 吧 ! 恕 
会 知道 能 不 


能 成 功 哩 ! 





让 匿名 者 仅 具 有 上 传 权限 ， 不 可 下 载 匿 名 者 上 传 的 东西 
net.qiang(Ohotmail.com 


一 般 来 说 ， 用 户 上 传 的 数据 在 管理 员 尚 未 查阅 过 是 否 合 乎 版 权 等 相关 事 


宜 前 ， 是 不 


应 该 让 其 他 人 下 载 的 ! ”然而 前 一 小 节 的 设 定 当中 ， 用 户 上 传 的 资料 是 
可 以 被 其 他 人 所 


浏览 与 下 载 的 ! 如 此 一 来 实在 是 很 危险 ! 所 以 如 果 你 要 设 定 
/varftp/uploads/ 内 透 


过 匿名 者 上 传 的 数据 中 ， 仅 能 上 传 不 能 被 下 载 时 ， 那 么 被 上 传 的 数据 的 
权限 就 得 要 修改 


一 下 才 行 ! 请 将 前 一 小 节 所 设 定 的 四 个 参数 简化 成 为 : 

















[root@www ~]# vim /etc/vsftpd/vsftpd.conf 





# 将 这 几 行 给 他 改 一 改 先 ! 记得 要 拿 掉 anon_other_write_enable=YES 
write_enable=YES 

anon_mkdir write_enable=YES 

anon_upload_enable=YES 


chown_uploads=YES <== 新 增 的 设 定 值 在 此 ! 


chown_username=daemon 
[root@www ~]# /etc/init.d/vsftpd restart 


当然 啦 ， 那 个 /var/ftp/uploads/ 还 是 需要 可 以 被 ftp 这 个 使 用 者 写 入 才 
行 | 如 此 二 


来 被 上 传 的 档案 将 会 被 修改 档案 拥有 者 成 为 daemon 这 个 使 用 者 ， 而 fp 
(匿名 者 取得 


的 身份 ) 是 无 法 读 取 daemon 的 数据 的 ， 所 以 也 束 无 法 被 下 载 哆 ! 入 和 
例题 : 
在 上 述 的 设 定 后 ， 我 尝试 以 anonymous 登入 并 且 上 传 一 个 大 档案 到 


/uploads/ 目录 下 。 由 于 网 络 的 问题 ， 这 个 档案 传 到 一 半 束 断 线 。 下 在 我 
重新 


上 传 时 ， 却 告知 这 个 档案 无 法 复写 ! 该 如 何 是 好 ? 


A 委 5 。 
已 








F 么 会 无 法 禾 写 呢 ? 因 为 这 个 档案 在 你 脱 机 后 ， 档 案 的 拥有 者 就 被 改 
2 了 ! 因为 这 个 档案 不 属于 fp 这 个 用 户 了 ， 因 此 我 们 无 法 进行 履 
此 时 ， 你 只 能 更 改 本 地 端 档案 的 档 名 再 次 的 上 传 ， 重 新 从 
上 传 吃 ! 


被 动 式 联机 埋 口 的 限制 
FTP 的 联机 分 为 主动 式 与 被 动 式 ， 主 动 式 联机 比较 好 处 理 ， 因 为 都 是 透 


过 服务 器 的 


port 20 对 外 主动 联机 ， 所 以 防火 墙 的 处 理 比较 简单 。 被 动 式 联机 就 比 
较 肤 烦 一 因为 


预 设 FIP 服务 器 会 随机 取 几 个 没有 在 使 用 当中 的 埋 口 来 建立 和 梓 动 式 联 
机 ， 那 防火 墙 的 


设 定 束 麻烦 啦 ! 
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没关系 ， 我 们 可 以 透 过 指定 几 个 固定 范围 内 的 塌 口 来 作为 FIP 的 被 动 
式 数 据 连接 


之 用 即 可 ， 这 样 我 们 惑 能 够 预先 知道 FTP 数据 链 路 的 埋 口 啦 ! 举例 来 
说 ， 我 们 假设 被 


动 式 连接 的 塌 口 为 65400 到 65410 这 几 个 塌 口 时 ， 可 以 这 样 设 定 : 


[root@www ~]# vim /etc/vsftpd/vsftpd.conf 





# 增加 底下 这 几 行 即 可 啊 ! 
pasv_min_port=65400 
pasv_max_port=65410 

[root@www ~]# /etc/init.d/vsftpd restart 


匿名 用 户 的 设 定 大 致 上 这 样 就 能 符合 你 的 需求 嗓 ! 其 他 的 设 定 就 自己 看 
着 办 吧 ! 人 入 


21.2.8 防火 墙 设 定 





里 面 的 script 拿 出 来 修改 即 可 啊 ! 不 


过 ， 如 同 


前 言谈 到 的 ，FTP 使 用 两 个 塌 口 ， 加 上 常 有 随机 局 用 的 数据 流 埋 口 ， 以 
及 被 动 式 联机 的 


服务 器 塌 口 等 ， 所 以 ， 你 可 能 得 要 进行 : 

加 入 iptables 的 ip_nat_ftp, ip_conntrack_ftp 两 个 模块 

开放 port 21 给 因特网 使 用 

开放 前 一 小 节 提 到 的 port 65400~65410 塌 口 给 Internet 联机 用 
要 修改 的 地 方 不 少 ， 那 就 让 我 们 来 一 步 一 脚印 吧 ! 


#1. 加 入 模块 : 虽然 iptables.rule 已 加 入 模块 ， 不 过 系统 档案 还 是 修改 一 
下 好 


本 : 





[root@www ~]# vim /etc/sysconfig/iptables-config 
IPTABLES_ MODULES="ip_nat_ftp ip_conntrack_ftp" 


# J 两 个 模块 中 间 有 空格 键 卫 开 ! 然后 重新 局 动 iptables 
服 


嘿 ! 
[root@www ~|]# /etc/init.d/iptables restart 

# 2. 修改 iptables.rule 的 脚本 如 下 : 

[root@www ~]# vim /usr/local/virus/iptables/iptables.rule 

iptables -A INPUT -p TCP -i $SEXTIF --dport 21 --sport 1024:65534 -j 
ACCEPT 


# ”找到 上 面 这 一 行 ， 并 将 前 面 的 批注 拿 挥 即 可 ! 并 且 新 增 底下 这 一 行 
喔 ! 


iptables -A INPUT -p TCP -i $EXTIF --dport 65400:65410 --sport 
net.giang(@hotmail.com 

0 

1024:65534 -] ACCEPT 


[root@www ~|]# /usr/local/virus/iptables/iptables.rule 


这 们 就 好 了 ! 同时 闵 原 主动 式 与 被 动 式 的 联机 ! 并且 加 入 所 需要 的 PT 
费 块 嘿 ! 


21.2.9 常见 问题 与 解决 之 道 
底下 说 明 几 个 第 见 的 问题 与 解决 之 道 吧 ! 
如 果 在 Client 羔 上 面 发 现 无 法 联机 成 功 ， 请 检查 : 
1. iptables 防火 墙 的 规则 当中 ， 是 否 开 放 了 client 端的 port 21 登 
入 ? 
2. 在 /etc/hosts.deny 当中 ， 是 人 否 将 client 的 登入 权限 挡住 了 ? 
3. 在 /etc/xinetd.d/vsftpd 当中 ， 是 否 设 定 错误 ， 导 致 client 的 登 
入 权限 被 取消 了 ? 
如 果 Client 已 经 连 上 vsftpd 服务 器 ， 但 是 却 显 示 『 XXX file can't be 
opend 」 的 字样 ， 请 检查 : 
1. 最 主要 的 原因 还 是 在 于 在 vsftpd.conf 当中 设 定 了 检查 某 个 档案 ， 
但 是 你 却 没 有 将 该 档案 设 定 起 来 ， 所以， 请 检查 vsftpd.conf 里 面 所 有 
设 定 的 档案 档 名 ， 使 用 touch 这 个 指令 将 该 档案 建立 起 来 即 可 ! 
如 果 Client 已 经 连 上 vsftpd 服务 器 ， 却 无 法 使 用 某 个 账号 登入 ， 请 检 




















查 : 
1. 在 vsftpd.conf 里 面 是 人 否 设 定 了 使 用 pam 模块 来 检验 账号 ， 以 及 利 
用 userlist_file 来 管理 账号 ? 
2. 请 检查 /etc/vsftpd/ftpusers 以 及 /etc/vsftpd/user_list 档案 
内 是 否 将 该 账号 写 入 了 ? 
如 有 果 Client 无 法 上 传 档案， 该 如 何 是 好 ? 
1. 最 可 能 发 生 的 原因 就 是 在 vsftpd.conf 里 面 态 记 加 上 这 个 设 定 
[write_enable=YES」 这 个 设 定 ， 请 加 入 ; 
2. 是 否 所 要 上 传 的 目录 『 权 限 」 不 对 ， 请 以 chmod 或 chown 来 修订 ; 
3. 是 否 anonymous 的 设 定 里 面 筷 记 加 上 了 底下 三 个 参数 : 
anon_other_ write_enable=YES 


net.giang(@hotmail.com 


0 


0 


anon_mkdir write_enable=YES 
anon_upload_enable=YES 
4. 是 人 否 因 为 设 定 了 email 抵挡 机 制 ， 又 将 email address 写 入 该 档案 
中 了 ! ? 请 检查 ! 
5. 是 否 设 定 了 不 许 ASCII 格式 传送 ， 但 Client 端 却 以 ASCII 传送 呢 ? 


请 在 dient 端 以 binary 格式 来 传送 档案 ! 


6. 检查 一 下 /var/log/messages ， 是 人 否 被 SELinux 所 抵挡 住 了 呢 ? 


We 如 果 还 是 无 法 解决 你 的 问题 ， 请 你 务必 分 析 一 
这 两 个 档 


案 : /var/log/vsftpd.log 与 /var/log/messages ， 里 面 有 相当 多 的 重要 资 
料 ， 可 以 


提供 给 你 进行 除 错 喔 ! 不 过 /var/log/vsftpd.log 却 预 设 不 会 出 现 ! 只 有 


/varlog/xferlog 而 已 。 如 果 你 想 要 加 入 /var/log/vsftpd.log 的 支持 ， 可 以 
这 样 做 : 


[root@www ~]# vim /etc/vsftpd/vsftpd.conf 
dual_ log_ enable=YES 
vsftpd_log_file=/var/log/vsftpd.log 

# 加 入 这 两 个 设 定 值 即 可 哟 ! 

[root@www ~]#/etcinit.d/vsftpd restart 


这 样 未 来 有 新 联机 或 者 是 错误 时 ， 束 会 额外 写 一 份 /var/log/vsftpd.log 去 
喔 ! 


21.3 客户 端的 图 形 接口 FTP 联机 软件 


0 子 接口 的 _ftp 及 _lftp 这 两 文 指令 ， 详 细 的 使 
方 也 


请 参考 第 五 章 常 用 网 络 指令 的 说 明 。 至 于 Linux 底下 的 图 形 接口 软件 ， 
可 以 参考 gftp 这 支 程序 喔 ! 图 形 接口 的 啦 ! 很 简单 啊 ! 那 Windows 底 
下 有 没有 相对 应 的 FTP 客户 端 

软件 ? 


21.3.1 Filezilla 














和 自由 软件 啊 ， 那 么 Windows 操作 系统 有 没有 自由 软件 
啊 ? 有 的 ， 


你 可 以 使 用 fiezilla 这 个 好 东西 ! 这 个 玩意 儿 的 详细 说 明 与 下 载 点 可 以 
在 底下 的 连 


第 杖 到 : 





下 载 网 站 : 
http://sourceforge.net/project/showfiles.php?group id=21558 
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Se 检视 () 传 坦 (D 何 股 器 人 @ 埋 施 @) 悦 明 0) 
| 四 













未 到 镍 到 | 任何 伺服 喃 


第 四 区 











目前 (2011/06) 最 新 的 稳定 版 本 是 3.5.x 版 ， 所 以 底下 鸟 哥 就 以 这 个 版 本 


来 跟 大 


家 说 明 。 为 什么 要 选择 Filezilla 呢 ? 除了 他 是 自由 软件 之 外 ， 这 家 伙 苋 
然 可 以 连结 


到 SSH 的 sftp 呢 ! 真是 很 不 错 的 一 个 家 伙 啊 ! 和 人 人! 另外 要 注意 的 是 ， 
底下 乌 哥 是 以 


Windows 版 本 来 说 明 的 ， 不 要 拿 来 在 X window 上 面 安装 喔 ! 人 人 (请 下 
载 Filezilla 





client 不 是 server 喔 ! ) 


因为 这 个 程序 是 给 ”Windows ”安装 用 的 ， 所 以 安装 的 过 程 就 是 ...( 下 一 
步 )An 就 好 


了 ! 并 且 这 个 程序 支持 多 国语 系 ， ”所 以 你 可 以 选择 繁体 中 文 昵 ! 实在 
是 很 棒 ! 安装 完 


毕 之 后 ， 请 你 执行 他 ， 就 会 出 现 如 下 的 画面 了 : 

图 21.3-1、Filezilla 的 操作 接口 示意 

上 图 的 第 一 、 二 到 五 区 的 内 容 所 代表 的 资料 是 : 

1. 第 一 区 : 代表 FTP 服务 器 的 输出 信息 ， 例 如 欢迎 讯息 等 信息 ; 
2. 第 二 区 : 代表 本 机 的 文件 系统 目录 ， 与 第 三 区 有 关 ; 

3. 第 三 区 : 代表 第 二 区 所 选择 的 磁盘 内 容 为 何 ; 

4. 第 四 区 : 代表 远程 FTP 服务 器 的 目录 与 档案 ; 

5. 第 五 区 : 代表 传输 时 的 队列 信息 (等 待 传送 的 数据 ) 

而 另外 图 中 的 ab, c 则 代表 的 是 : 


a. 站 台 管 理 员 ， 你 可 以 将 一 些 常用 的 FTP 服务 器 的 IP 与 用 户 信息 记录 
在 此 ; 
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选择 柚 位 (5S); 
中 我 的 站 台 


由 息 哥 的 区 桐 本 机 | 主机 (H); ~ |192.168.100.254 | 连接 埠 (P): | 
9 | FTP - 档案 传输 协定 | 


加 密 (E); 使 用 纯粹 的 FTP 


一 般 设 定 “ 进 阶 设 定 | 传输 设 定 | 宇 码 集 ， 


























登入 型 式 (L); | 一 般 
使 用 者 (U); |anonymous 

密码 人); | 下 玫 兴 玫 素 束 吾 于 素 于 浊 事 下 
路 号 心 ); - 





























诗 诅 (hi) 





] 
| 























b. 更 新 ， 如 果 你 的 资料 有 更 新 ， 可 使 用 这 个 按钮 来 同步 flezilla 的 屏幕 


c. 主机 地 址 、 用 户 、 和 密码 与 端口 这 四 个 玩意 儿 可 以 实时 联机 ， 不 记录 信 


人 


接 下 来 我 们 连接 到 FTP 服务 器 上面 去 ， 所 以 你 可 按 下 图 21.3-1 的 a 


要 


好 
部 


会 出 现 如 下 画面 : 
图 21.3-2、Filezilla 的 FTP 站 台 管 理 员 使 用 示意 图 


上 图 的 箭头 与 相关 的 内 容 是 这 样 的 : 


本 『 新 增 站 台 」 的 按钮 ， 然 后 在 箭头 2 的 地 方 就 会 出 现 可 输入 名 
小 加, 


方 框 ; 


3 框 当中 随便 填写 一 个 你 容易 记录 的 名 字 ， 只 要 与 真正 的 网 站 有 
扩 天 连 














印 可 ; 

3. 接 下 来 看 到 右边 有 一 般 设 定 ， 在 一 般 设 定 里 面 几 个 项 目 很 重要 的 : 
o 主机 : 在 这 个 方 框 中 填写 主机 的 IP， 端 口 如 果 不 是 标准 的 port 21 
才 填 写 其 他 塌 口 。 


o 协定: 主要 有 (1)FTP 及 (2)SFTP (SSHD 所 提供 )， 我 们 这 里 选 FTP 








o 加 密 : 

是 否 有 网 络 加 密 ， 新 的 协议 中 ，FTP 可 以 加 上 TLS 的 FTPS 喔 ! 
预 设 为 明码 

0 登入 型 式 : 因为 需要 账号 密码 ， 选 择 『 一 般 」 即 可 ， 然 后 底下 就 是 输 
入 使 用 者 、 账 号 即 可 。 
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一 般 总 定 | 进 障 误 定 | 博 吉 证 | 宇 三 集 | 
中 我 的 站 各 - Ni 


生息 哥 的 区 移 本 楼 传输 模式 (UU); 
多 预 误 {E) 〇 主动 模式 (4&) OO 被 副 模 式 (P) 
口 限 制 同时 过 穆 数 (L) 

景 大 连绵 数 (M); 1 





























基本 上 这 样 设 定 完 就 能 够 连 上 主机 了 ， 不 过 ， 如 条 你 还 想 要 更 详细 的 规 
范 数 据 连 接 


的 方式 (主动 式 与 和 被动式 ) 以 及 其 他 资料 时 ， 可 以 按 下 的 『 传 输 设 定 ] 
按钮 ， 就 会 出 


现 如 下 画面 了 : 
图 21.3-3、Filezilla 站 人 台 管 理 员 内 的 传输 设 定 


在 这 个 画面 当中 你 可 以 选择 是 否 使 用 被 动 式 传输 机 制 ， 还 可 以 调整 最 大 
联机 数 呢 ! 


为 什么 要 自我 限制 呢 ? 因为 Filezilla 会 主动 的 重复 建立 多 条 联机 来 快速 
下 载 ， 但 如 


果 vsftpd.conf 有 限制 max_per ip 的 话 ， 某 些 下 载 会 被 拒绝 的 ! 因此 ， 
这 个 时 候 在 








此 设 定 为 1 就 显 的 很 重要 ~ 随时 只 有 一 文联 机 建 立 ， 束 不 会 有 重复 登入 
的 问题 ! 最 后 


请 按 下 图 21.3-2 画面 中 的 『 联 机 」 吧 ! 
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矿 马 哥 的 医科 本 报 - anonymous@192.168.100.254 - FileZilla 碟 名 4 
档案 人 句 辑 (检视 (P) 传 奏 ( 何 服 器 G) 埋 笑 G) 我 明 @) 二 
| 带 " 上 [ 到 | 开 全 革 内 呈 和 | 加 RR | 
| 便 用 者 名 阁 (W); 密码 (W); | | 适 接 起 (P) | [快速 素 镶 (Q) j[-] 
[Sb3 220- 主 要 的 目 群 总 信 
提供 Linux 作业 系 芒 机 款 体 
提供 GNU 的 目 由 歌 钥 v 













档案 大 小 ”档案 类 别 
本 机 趴 碟 
光 码 鲁 201182 下午 1..， 
Dlnw 榨 案 资料 来 。 201162 下 午 1.， drwx 
Brmb 榨 案 次 料 严 。 201162 下 午 1.， drwx 
ma 档案 座 权 杰 。 M113 上 车 1 fiwx 
《 |< > 
2 个 目 笑 1 候 榨 案 内 4 个 目录 . 绵 共 大 小 : 17 Byte 
何 服 器 /本 地 档案 方向 。” 衣 端 档案 大 小 ， 便 先 郴 。 的 扰 








所 NN ©: 


图 21.3-4、Filezilla 联机 成 功 示 意图 
更 多 的 用 法 就 请 你 自行 研究 中 ! 
21.3.2 透 过 浏览 器 取得 FTP 联机 





4 这 个 协议 哆 ! 这 个 协议 的 处 理 方式 可 以 在 网 址 列 的 地 方 这 样 输入 


ftp://username@your_ip 


要 记得 ， 0 0 username@ 的 字样 时 ， 系 统 默认 会 以 匿 
名 登录 来 处 


理 这 次 的 联机 。 因 此 如 果 你 想 要 使 用 实体 用 户 联机 时 ， 融 在 在 IP 或 主 
机 名 之 前 填写 


es 举例 来 说 ， 乌 哥 的 FTP 服务 器 (192.168.100.254) 若 有 dmtsai 
这 个 使 用 


者 ， 那 我 启动 浏览 器 后 ， 可 以 这 样 做 : 
ftp:/dmtsai(@192.168.100.254 


然后 在 出 现 的 对 话 窗口 当中 输入 dmtsai 的 密码 ， 就 能 够 使 用 浏览 器 来 管 
理 我 在 





FIP 服务 器 内 的 文件 系统 哆 ! 是 否 很 容易 啊 其 至， 你 连 密 人 码 都 想 要 
上 网 址 列 ， 那 融 


更 历 害 啦 ! 


| 
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0 


ftp://dmtsai:yourpassword(@@®192.168.100.254 
21.4 让 vsftpd 增加 SSL 的 加 密 功 能 
J http 都 有 https 了 ， 那 么 使 用 明码 传输 的 ftp 有 没有 加 和 密 的 ftps 呢 ? 


嘿 ! 说 的 好 ! 有 的 啦 一 既然 都 有 openssl 这 个 加 密 函 式 库 ， 我 们 当然 能 
够 使 用 类 似 的 





机 制 来 处 理 FTP 哆 ! 但 前 提 之 下 是 你 的 vsftpd 有 文 持 SSL 函 式 库 才 
行 ! 此 外 ， 我 们 


也 必须 要 建立 SSL 的 凭证 档 给 vsftpd 使 用 ， 这 样 才 能 够 进行 加 密 嘛 ! 
了 解 乎 ! 接 下 


来 ， 就 让 我 们 一 步 一 步 的 进行 ftps 的 服务 器 建 置 吧 ! 


1. 检查 vsftpd 有 无 文 持 ssl 模块 : 


Sa vsftpd 当初 编译 的 时 候 没 有 支持 SSL 模块 ， 那 么 你 束 得 只 好 
己 重 新 


编译 一 个 vsftpd 的 软件 了 ! 我 们 的 CentOS 有 文 持 吗 ? 赶紧 来 瞧 瞪 : 
[root@www ~]# ldd $(which vsftpd) | grep ssl 

libssl.so.10 => /usr/lib64/libssl.so.10 (0x00007f0587879000) 

如 果 有 出 现 libssl.so 的 字样 ， 就 是 有 文 持 ! 这 样 才能 够 继续 下 一 步 哟 ! 


2. 建立 专门 给 vsftpd 使 用 的 和 凭证 数据 : 


CentOS 给 我 们 一 个 建立 任 证 的 地 方 ， 那 束 是 /etc/pki/tls/certs/ 这 个 目 
录 ! 详 


细 的 说 明 我 们 在 .20.5.2 里 面谈 过 咯 ， 所 以 这 里 只 介绍 怎么 做 : 





[root@www ~]# cd /etc/pki/tls/certs 
[root@www certs]# make vsftpd.pem 
ee .…( 前 面 省 略 ).…. 


Country Name (2 letter code) [入 X|: 工 人 


State or Province Name (full name) []:Taiwan 

Locality Name (eg, city) [Default City]:Tainan 

Organization Name (eg, company) [Default Company Ltd]:KSU 
Organizational Unit Name (eg, section) []:DIC 

Common Name (eg, your name or your server's hostname) 
[|:www.centos.vbird 
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Email Address [1]:root@www.centos.vbird 

[root@www certs]# cp -a vsftpd.pem /etc/vsftpd/ 

[root@www certs]# 1 /etc/vsftpd/vsftpd.pem 


-TW------- . 1 root root 3116 2011-08-08 16:52 /etc 人 /vsftpd/vsftpd.pem 





# 要 注意 一 下 权限 喔 ! 


3. 修改 vsftpd.conf 的 配置 文件 ， 假 定 有 实体 、 匿 名 账号 : 
在 前 面 21.2 里 面 大 多 是 单纯 匿名 或 单纯 实体 帐户 ， 这 里 我 们 将 实体 账 


号 透 过 SSL 


联机 ， 但 匿名 者 使 用 明码 传输 ! 两 者 同时 提供 给 客户 端 使 用 啦 ! FTP 
的 设 定 项 目 主要 


是 这 样 : 
提供 实体 账号 登入 ， 实 体 账 号 可 上 传 数据 ， 且 umask 为 002 
实体 账号 默认 为 chroot 的 情况 ， 且 全 部 实体 账号 可 用 带宽 为 


1Mbytes/second 
实体 账号 的 登入 与 数据 传输 均 需 透 过 SSL 加 密 功 能 传送 ; 


提供 匿名 登录 ， 匿 名 者 仅 能 下 载 ， 不 能 上 传 ， 且 使 用 明码 传输 (不 透 
过 SSL) 


此 时 ， 整 体 的 设 定 值 会 有 点 像 这 样 : 
[root@www ~]# vim /etc/vsftpd/vsftpd.conf 
# 实体 账号 的 一 般 设 定 项 目 : 


]ocal _ enable=YES 





write_enable=YES 
local_umask=002 
chroot_local_user=YES 
chroot_list_enable=YES 
chroot_list_file=/etc/vsftpd/chroot_list 
local_ max_rate=10000000 

# 匿名 者 的 一 般 设 定 : 
anonymous_enable=YES 
no_anon_password=YES 
anon max_rate=1000000 
data_connection_timeout=60 


idle_session timeout=600 


# 针对 SSL 所 加 入 的 特别 参数 ! 每 个 项 目 都 很 重要 ! 


ssl_enable=YES <== 启 动 SSL 的 支持 

allow_anon_ssl=NO <== 但 是 不 允许 匿名 者 使 用 SSL 喔 ! 
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force_local_data_ssl=YES <== 强 制 实体 用 户 数据 传输 加 密 
force_local logins_ssl=YES <== 同 上 ， 但 连 登 入 时 的 帐 密 也 加 密 
ssl_tlsv1=YES <== 文 持 TLS 方式 即 可 ， 底 下 不 用 局 动 
ssl_sslv2=NO 

ssl_sslv3=NO 

rsa_cert_file=/etc/vsftpd/vsftpd.pem <== 预 设 RSA 加 密 的 凭证 档案 所 在 
# 一 般 服 务 器 系统 设 定 的 项 目 : 

max_clients=50 

max per_ip=5 

use_localtime=YES 

dirmessage_enable=YES 

xferlog_enable=YES 

connect_from_port_20=YES 

xferlog_std_format=YES 

listen=YES 

pam_service_name=vsftpd 


tcp_wrappers=YES 


banner file=/etc 人 /vsftpd/welcome.txt 
dual _ log_enable=YES 

vsftpd_log file=/var/log/vsftpd.log 
pasv_min_port=65400 
pasv_max_port=65410 


[root@www ~]# /etc/init.d/vsftpd restart 


4. 联机 测试 看 看 ! 使 用 Filezilla 联机 测试 : 


接 下 来 我 们 利用 名 ezilla 来 说 明 一 下 ， 如 何 透 过 


机 加 密 。 
很 简单 ， 只 要 在 站 台 管 理 员 的 地 方 选择 : 
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SSL/TLS 功能 来 进行 联 













得 择 袖 位 G) [PP -一 
| 是 我 的 站 台 一 一 一 
时 息 哥 的 区 柚 本 楼 主机 (H)，。 |192.168,100.254 | 这 接 坊 人 p); | 
协定 (T) “|FTP - 档案 传输 协定 。 v 


震 要 渗 沁 外 吴 式 TLS 的 FTP 





























登入 型 式 (L); | 一 般 
使 用 者 (UY); jstudent 
帐号 (上 &); 






































诗 诅 (Ml) 





图 21.4-1、 透 过 Filezilla 联机 到 SSL/TLS 支持 的 FTP 方式 


如 上 图 所 示 ， 重 点 在 箭头 所 指 的 地 方 ， 需 要 透 过 ”TLS 的 加 密 方 式 才 
全 上 上 然后: 当 


导演 试 使 用 student 这 个 一 般 账 号 登入 系统 ， 联机 的 时 候 ， 应 该 会 出 现 
如 下 的 图 示 才 


对 : 
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i 过 个 间 服 器 的 和 项 发 不明, 请 留 , 测 庄 肖 座 以 确保 伺服 器 可 以 信任 ， 


详 引 内 容 

有 效 从 ， 2011/6/3 
有 效 至 ; 2012/6/2 
迁 改 序号， 00 


公开 金 搞 症 息 法 ;RSA with 1024 bits 
数位 指 税 (MD5); cf:f6;7a:fd:35;e0:18:01;33;26;76;97; 人 各 ;3c: 亿 ;29 
数位 指 敏 【SHA-1) ce:9f:b9:;bb:b8;30;82;db;:6b:21;a6;dc:33;a5;a4;98:;cf:07;30;el 


遥 发 主体 遥 改 发行 者 

裔 性 名 簿 ; www,centos,vbird 遥 性 名称 ;www,centos,vbird 

组 猴 ; KSU 组 猴 ; KSU 

单位 ; DIC 单位 ; DIC 

国家 : TYvy 国家 Tvy 

州 郡 省 份 :Taiwan 州 郡 省 份 :Taiwan 

城市 名 ;Tainan 城市 名 :Tainan 

直子 番 件 ; root 各 www,centos,ybird 电子 邮件 ;root 血 www,centos,ybird 
违 穆 细节 






主楼 ; 192.168.100.254;21 
Cipher' 3DES-CBC 


MaC: SHAT 
要 信任 运 个 活性 六 局 凑 惯 称 穆 ? 
边贸 景 入 二 未 来 过 独 的 源 训 (A 


确认 取消 





0 


图 21.4-2、 透 过 Filezilla 是 否 接受 凭证 呢 ? 


0 那么 你 可 以 点 选 上 图 那个 『 总 是 信任 」 的 项 目 ， 
此 一 六， 


未 来 联机 到 这 个 地 方 就 不 会 再 次 要 你 确认 凭证 啦 ! 很 简单 的 解决 了 
FTP 联机 加 密 的 问 


题 嗓 ! 和 人 人 
例题 : 


想 一 想 ， 既 然 有 了 SFTP 可 以 进行 加 密 的 FTP 传输 ， 那 为 何 需要 ftps 


呢 ? 
答 : 

因为 既然 要 开放 SFTP 的 话 ， 就 得 要 同时 放行 sshd 亦 即 是 ssh 的 联机 ， 
如 此 一 来 ， 你 的 port 22 很 可 能 会 常常 被 侦 测 一 辱 是 openssl, openssh 出 
问题 ， 恐 怕 你 的 系统 就 会 被 绑架 。 如 果 你 的 FTP 真 的 有 必要 存在 ， 那 


么 透 过 


Ts 以 及 利用 vsftpd 这 个 较为 安全 的 服务 器 软件 来 架设 ， 理 论 上 ， 是 要 


sftp 来 的 安全 些 一 至 少 对 Internet 放行 ftps 还 不 会 觉得 很 可 怕 .… 
21.5 重点 回顾 
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0 


FTP 是 文件 传输 协议 (File Transfer Protocol) 的 简写 ， 主 要 的 功能 是 进 
行 服务 器 与 客户 端的 档案 管理 、 传 输 等 事项 ; 


FTP 的 服务 器 软件 非常 多 ， 例 如 Wu FTP, Proftpd, vsftpd 等 等 ， 各 种 
FTP 


服务 器 软件 的 发 展 理念 并 不 相同 ，“ 所 以 选择 时 请 依照 你 的 需求 来 决定 
所 需要 的 


软件 ; 


FTP 使 用 的 是 明码 传输 ， 而 过 去 一 些 FTP 服务 器 软件 也 曾 被 发 现 安 
全 漏洞 ， 


因此 设 定 前 请 确定 该 软件 已 是 最 新 版 本 ， 避 免 安全 议题 的 衍生 ; 





由 于 FTP 是 明码 传输 ， 其 实 可 以 使 用 SSH 提供 的 sftp 来 取代 FTP ; 


是 人 FTP 服务 器 软件 都 提供 chroot 的 功能 ， 将 实体 用 户 限制 在 


家 目录 内 ; 


FTP 这 个 daemon 所 开局 的 正规 埋 口 为 20 与 21 ， 其 中 21 为 命令 通 
道 ， 


20 为 主动 联机 的 数据 传输 信道 ; 
FTP 的 数据 传输 方式 主要 分 为 主动 与 被 动 (Passive, PASV)， 如 果 是 主 


动 的 


话 ， 则 ftp-data 在 服务 器 端 主动 以 port 20 连接 到 客户 端 ， 否 则 需 开 放 被 
去 


式 监 听 的 埋 口 等 待 客户 端 来 连接 ; 
在 NAT 主机 内 的 客户 端 FTP 软件 联机 时 可 能 发 生 困 扰 ， 这 可 以 透 过 
iptables 的 nat 模块 或 利用 被 动 式 联机 来 元 服 ; 


一 般 来 说 ， FTP 上 面 共有 三 个 群 组 ， 分 别 是 实体 用 户 、 访 客 与 匿名 
登录 者 


(real, guest, anonymous); 


可 以 厌 由 修改 /etc/passwd 里 面 的 Shell 字段 ， 来 让 使 用 者 仅 能 使 用 
FTP 


而 无 法 登入 主机 ; 
FTP 的 指令 、 与 用 户 活动 所 造成 的 登录 档 是 放置 在 /var/log/xferlog 里 
面 ; 


为 专注 在 安全 议题 上 而 发 展 的 一 套 FTP 服务 器 软件 ， 他 的 配置 
文 


在 /etc/vsftpd/vsftpd.conf 
21.6 本 章 习题 
FTP 在 建立 联机 以 及 数据 传输 时 ， 会 建立 哪些 联机 ? 
需 建立 两 种 联机 ， 分 别 是 命令 信道 与 数据 传输 信道 。 在 主动 式 联 机 上 为 


port 





21(ftp) 与 port 20(ftp-data)。 
FTP 主动 式 与 被 动 式 联 机 有 何不 同 ? 
主动 式 联 机 的 时 候 ， 命 令 联机 是 由 client 端 主动 连接 到 服务 右 端 ， 但 是 
人 -data 则 是 由 服务 咒 端 主动 的 联机 到 client 端 。 至 于 被 动 式 联机 的 时 
医 
人 论 command 还 是 ftp-data 的 联机 ， 服 务 堪 端 都 是 监听 客户 端的 要 求 
1 
有 哪些 动作 可 以 让 你 的 FTP 主机 更 为 安全 (secure) ? 
o 随时 更 新 服务 器 软件 到 最 新 版 本 ; 
0 让 guest 与 anonymous 的 家 目录 限制 在 固定 的 目录 中 (chroot 或 
是 restricted); 
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o 拒绝 root 的 登入 或 者 其 他 系统 账号 的 登入 ; 
o 拒绝 大 部 分 的 upload 行为 ! 
我 们 知道 ftp 会 启用 两 个 ports ， 请 问 这 两 个 port 在 哪里 规范 的 (以 


vsftpd 为 例 )? 而 且 ， 一 般 正 规 的 port 是 几 号 ? 

若 为 stand alone 时 ， 都 是 由 vsftpd.conf 规范 ， 命 令 通 道 为 
listen_port=21 规范 ， 数 据 连接 为 connect_from_port_20=YES 及 
pasv_max_port=0, pasv_max_port=0 所 规范 。 

在 是 super daemon 所 管理 时 ， 命 令 信 道 则 由 /etc/services 所 规范 了 。 

那 几 个 档案 可 以 用 来 抵挡 类 似 root 这 种 系统 账号 的 登入 FTP? 

/etc/vsftpd/ftpusers 
/etc/vsftpd/user_ list 

在 FTP 的 server 与 client 端 进行 数据 传输 时 ， 有 哪 两 种 模式 ?为何 这 
两 种 模式 影响 数据 的 传输 很 重要 ? 


数据 的 传输 有 ASCII 与 Binary 两 种 方式 ， 在 进行 ascii 传送 方式 时 ， 
人 


传送 的 档案 将 会 以 文本 模式 来 进行 传送 的 行为 ，” 因 此， 档案 的 属性 会 
被 修改 过 ， 


可 能 造成 执行 档 最 后 却 无 法 执行 等 的 问题 ! 一 般 来 说 ，ASCII 通常 仅 用 
在 文本 广 


件 与 一 些 原 始 码 档案 的 传送 。 
和 我 的 主机 明明 时 区 设 定 没有 问题 ， 但 为 何 登 入 vsftpd 这 个 FTP 服务 


时 间 就 是 少 八 小 时 ? 该 如 何 解 决 ? 
肯定 是 时 区 方面 出 了 问题 ， 应 该 束 是 vsftpd.conf 里 面 少 了 


『 use_localtime=YES 」 这 个 参数 了 。 





21.7 参考 数据 与 延伸 阅读 





man 5 vsftpd.conf 


Filezilla 站 ; 





vsftpd + ssl] 功能 : 


http://wiki.vpslink.com/Configuring_vsftpd_for secure connections %28 
TLS/SSL/SFTP%29 


http://beginlinux.com/blog/2009/01/secure-ftp-with-ssl-on-centos/ 
2003/09/03: 首次 完成 2003/09/04: FTP 服务 器 软件 的 选择 建 记 





2006/12/19: 将 旧 的 文章 移动 到 此 处 ， 并 请 自行 参考 wu-ftp, proftpd 等 服 
务 | 
| 


2006/12/20: 将 分 散在 各 处 的 FTP 原则 说 明 完 毕 ， 也 更 新 完毕 咖 一 疲劳 


一 


2011/05/28: 将 旧 的 基于 CentOS 4.x 的 文章 移动 到 此 处 
2011/06/04: 加 入 了 ftps 的 SSL 联机 加 密 机 制 |! 
2011/08/08: 将 基于 CentOS 5.x 的 版 本 移动 到 此 处 
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第 二 十 二 童 、 邮 件 服 务 器 :Postfix 

最 近 更 新 日 期 : 2011/08/10 


lI 
在 这 个 邮件 服务 器 的 架设 中 ， 我 们 首先 谈论 Mail 与 _DNS 的 重要 相关 
性 ， 然 后 依 序 介 绍 Mail Server 的 





相关 名 词 ， 以 及 Mail Server 的 运作 基本 流程 与 协议 ， 也 会 谈 到 相关 的 
Relay 与 邮件 认证 机 制 等 项 目 ， 


这 些 项 目 对 于 未 来 邮件 服务 器 的 管理 与 设 定 是 重要 的 ， 请 不 要 忽略 了 这 
方面 问题 的 讨论 喔 。 由 于 


Postfix 的 配置 文件 内 容 较 具有 亲 和 性 ， 因 此 我 们 单纯 介绍 了 Postfix 不 


再 介绍 sendmail 了 。 








22.1 由 务 器 的 功能 与 运作 原 玫 


2 ll 由 和 功能 与 问题 


22.1.2 Mail server 与 DNS 之 间 的 关系 





22.1.5 Relay 与 认证 机 制 的 重要 性 
22.1.6 由 息 沟 学 


22.2 MTA 器 Postfix 基础 设 定 
22.2.1 Postfix 的 开发 


22.2.2 所 需要 邓 点 结 校 


2 务 器 的 设 定 案 僧 


22.2.4 让 Postfix 可 监听 Internet 来 收发 信件 : 直接 看 范例 











22.3 MRA 号 :dovecot 设 定 


22.3.1 基础 的 POP3/IMAP 设 定 


22.3.2 加 密 的 POP3s/IMAPs 设 定 





22.4.1 Linux mail 
22.4.2 Linux mutt 


22.4.3 Thunderbird 和 器 平台 (Windows/LinuxX 





22.5.6 其 他 设 定 小 技巧 单 封 信和 容量 限制 , SMTP 寄 件 备份 , 错误 检查 
22.6 重点 回顾 
22.7 本 音 习 题 
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22.1 邮件 服务 器 的 功能 与 运作 原理 
电子 邮件 是 个 喻 玩意 儿 ? 它 是 利用 网 络 传递 一 些 信息 给 远程 服务 器 的 一 


种 信息 传 


递 行 为 ， 虽 然 消 息 正 文 是 很 疹 很 硬 的 计算 机 文字 ， ”确实 比 不 上 手写 信 
件 来 的 让 人 觉得 


温暖 ， 不 过 ， 对 于 具有 时 效 性 的 信息 来 说 ， 电 子 邮 件 可 是 个 不 可 多 得 的 
好 帮手 ! 但 是 ， 


电子 邮件 系统 蓬 动 发 展 的 现在 却 被 条 些 少 部 分 的 特定 人 士 所 乱用 ， 导 致 
垃圾 信件 、 色 情 


“~ 告 信件 等 等 的 泛滥 ! ”真是 啊 一 伤 脑筋 一 确 下 我 们 就 先 来 谈 一 谈 这 个 
电子 邮件 相关 的 


功能 吧 ! 

















Tips: 
时 至 今日 ，Google 与 儿 个 大 型 的 网 络 公司 都 有 提供 免费 或 者 是 付费 
的 邮件 服务 器 ， 其 中 ， 人 免费 的 电子 邮件 账号 甚至 已 经 提供 高 达 数 个 


GB 的 邮件 储存 量 ! 对 于 一 般 用 户 来 说 真是 非常 够 用 了 ! 因此 ， 除 非 
必要 ， 现 在 我 们 都 『 不 建议 您 架设 mail server」 的 ! 因为 玩 过 邮 
件 主 机 的 朋友 都 很 清楚 ， 在 现在 的 坏 境 当 中 想 要 搞定 Mail server 
是 很 难 的 一 件 事 情 ， 除 了 目前 网 络 社 会 的 广告 信 、 垃 圾 信 、 病 毒 信 
实在 是 多 的 不 象 话 ， 所 以 各 主要 的 ISP 对 于 邮件 控 管 上 面 越 来 越 严 
格 ， 而 且 基 本 功 当中 的 mail vs. DNS 相关 性 又 太 高 ! 很 难 理解 一 
22.1.1 电子 邮件 的 功能 与 问题 


在 目前 的 社会 当中 ， 没 有 电子 邮件 (e-mail) 似乎 是 蛮 奇 怪 的 一 件 事 ! 可 
以 说 ， 现 


在 e-mail 已 经 成 为 一 个 很 普 届 的 人 与 人 之 间 的 沟通 管道 了 ， 电子 邮件 
可 以 很 快速 的 


帮 你 将 文件 或 讯 轧 传送 到 地 球 上 的 任何 一 个 有 网 络 存在 的 角落 ， 当 然 ， 
你 也 可 以 在 任 


何 有 网 络 的 地 方 ， 连 上 Internet 去 收取 你 的 信件 ! 
只 


下 
不 过 ， 遗 憾 的 是 ， 只 要 是 有 人 类 的 地 方 ， 就 会 有 很 多 你 意 想 不 到 的 事情 
会 出 现 了 ， 


当然 e-mail 也 不 例外 ， 怎 么 说 呢 ? 我 们 来 慢 慢 的 分 析 一 下 电子 邮件 产 
生 的 一 些 问 题 


吧 : 
夹带 病毒 的 电子 邮件 问题 : 


你 可 以 常常 听 到 电子 邮件 可 能 夹带 病毒 对 吧 ! 没 错 ， 利 用 电子 邮件 以 及 
人 们 对 于 


电子 邮件 的 漫不经心 的 态度 ， ”使 得 以 电子 邮件 为 媒介 的 计算 机 病毒 更 




















容易 『 深 
入 人 和 群 上 当中 呐 ! 
怪 客 透 过 邮件 程序 入 侵 : 


只 要 在 Internet 上 面 跑 的 数据 就 没有 绝对 保密 的 ! 你 可 以 轻易 的 使 用 怪 
客 软件 


(Cracker) 就 可 以 取得 使 用 者 在 利用 e-mail 传送 过 程 当 中 所 输入 的 账号 与 


Vy xe 


人 





情 


0 
BIy! 
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广告 信 与 垃圾 信 等 : 


这 个 可 说 是 目前 各 大 ISP 心中 永远 的 痛 一 这 些 垃圾 信件 可 以 占 撞 很 多 浊 
少 的 可 


怜 的 带宽 ， ”使得 正常 用 户 连 接 速 度 与 质量 下 降 ， 更 可 能 造成 网 络 的 停 











常常 收 到 垃圾 信件 的 你 ， 大 概 也 不 好 过 吧 ! 
主机 被 大 量 不 明 信 件 塞 焊 : 


ee 
功能 ， 发 


送 大 量 的 信件 ， ”让 你 『 一 次 收 个 够 ! 」 治 爆 你 的 服务 絮 人 硬盘 ， 想 要 不 
当 机 痢 粉 


难 ~ 


真实 社会 的 讨厌 情事 : 


『 黑 函 」! 听 到 会 不 会 很 害怕 ? 当然 很 害 介 啦 ! 偏偏 使 用 e-mail 就 可 以 
作 很 多 


的 坏事 一 这 真是 太 不 道德 了 一 
不 实 的 信件 内 容 : 
只 要 注意 到 消 基 会 的 讯息 就 可 以 知道 啦 ， 不 明 来 源 的 电子 邮件 说 的 内 


容 ， 不 要 轻 


易 的 相信 ! 因为 很 多 可 是 以 论 传 说 ， 结 有 末 ， 大 家 都 被 要 了 的 一 例如 ， 
你 的 朋友 


收 到 一 封 信 ， 认 为 { 哇 ! 这 是 大 事情 」】， ”所 以 在 没有 求证 的 情况 下 ， 
将 信 『 转 


寄 |」 给 你 看 ， 咽 ! 你 的 朋友 寄 给 你 的 ， 当 然 要 相信 他 哮 ! 立刻 再 转 
a wl 


再 地 循环 ， 嘿 嘿 ! 这 个 错误 内 容 的 讯 奶 马上 就 让 大 家 知道 ， ”更 可 怕 的 


是 『 还 会 
让 大 家 接受 ~~」 所 以 ， 看 到 任何 讯 恳 时， 请 二 万 要 记得 求证 一 下 响 ! 


可 怕 吧 ! 电子 邮件 会 衍生 出 这 么 多 的 问题 说 一 力 外 ， 这 个 email 服务 器 
的 设 定 与 


管理 真 的 是 网 管 人 员 心 中 永远 的 痛 ! ”为 什么 呢 ? 因为 人 都 是 想 要 越 便 
利 越 简单 越 好 ， 


但 越 便利 越 不 定制 的 邮件 服务 器 就 越 容易 被 攻击 或 遭 利用 ! 反 过 来 
说 ， 如 果 你 针对 邮 


件 服务 器 管 得 太 严 厉 ， 那 就 不 太 人 性 化 ， 相 信人 至 少 您 的 主管 可 能 就 不 太 


满意 ， 怎 么 办 ? 


呵呵 ! 没 错 啦 ! 邮件 服务 器 就 是 这 么 回 事 ， 让 人 又 爱 又 介 的 一 个 玩意 


























儿 ， 搞 定 他 ， 


茶 喜 您 啊 一 切 顺 利 圆 满 ! 搞 不 定 他 ， 服 务 器 被 当成 垃圾 信件 转运 站 事 
小 ， 于 挥 工作 那 


可 是 『 效 事 体 大 」 哆 ! 就 因为 他 是 这 么 重要 又 难 以 搞定 ， ”所 以 我 们 可 
得 好 好 的 学 学 他 


响 ! 
22.1.2 Mail server 与 DNS 之 间 的 关系 
既然 要 使 用 e-mail ， 当 然 就 需要 邮件 服务 器 哆 (Mail Server)! 不 然 你 的 


信 要 怎 /OA 


样 寄 出 去 呢 ? 事实 上， mail server 的 原理 说 难 不 难 ， 但 是 说 简单 吗 一 似 
乎 又 有 点 难 


以 理解 一 ， 所 以 ， ”的 下 我 们 要 来 谈 一 谈 他 的 原理 部 分 ， 然 后 再 针对 服 
务 吉 的 设 定 来 进 


行 说 明 咯 ! 我 们 首先 要 讲 的 就 是 『 Mail server 系统 与 DNS 系统 有 什么 
关连 性 ?”」 这 


个 部 分 新 手 最 容易 被 摘 混 哩 ， 是 人 否 要 架设 mail server 就 『 答 命 」 的 一 定 
得 加 & 设 DNS 


server 在 你 的 主机 上 面 吗 ? 
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Mail server 与 合法 的 主机 名 


| 目前 已 经 没有 人 会 使 用 IP 来 寄 信 了， 我 们 通常 接收 到 的 email 都 
是 使 用 


7 的 方式 来 处 理 的 ， 所 以 说 ， 你 的 邮件 服务 器 『 就 一 定 
合法 注 


册 过 的 主机 名 」 才 可 以 。 为 什么 呢 ? ”因为 网 络 恶 意 使 用 与 垃圾 邮件 泛 
滥 的 种 种 因素 ， 


I ie IP 来 寄 信 了， 否则 每 部 有 IP 的 主机 都 


能 寄 信 ... 因 











此 ， 你 想 要 架设 mail server 就 


OK ! 既然 我 只 要 一 个 合法 的 主机 名 即 可 ， 那 么 表示 我 不 需要 架设 一 部 
DNS 主机 嘿 ? 


是 的 ， 你 可 以 这 样 认为 ! 只 要 你 拥有 合法 的 主机 名 ， 亦 即 在 DNS 的 奉 
询 系 统 当中 你 的 


主机 名 拥有 一 个 A 的 标志 ， 理论 上 你 的 mail server 就 可 以 染 设 成 功 。 
只 不 过 由 于 


目前 因特网 上 面 的 广告 信 、 垃圾 信 与 病毒 信 等 占用 了 太 多 的 种 完 ， 导 
致 整个 网 络 社会 

化 费 过 多 的 成 本 在 消耗 这 些 垃圾 资料 。 所 以 为 了 杜绝 可 恶 的 垃圾 信 
件 ， 目 前 的 大 型 网 

络 供 货 商 (ISP) 都 会 针对 不 明 来 源 的 邮件 加 以 限制 ， 这 也 就 是 说 『 想 要 


架设 一 部 简单 


可 以 运作 的 mail server 越 来 越 难 了 」 。 














DNS 的 反 解 也 很 重要 ! 


对 于 一 般 的 服务 器 来 说 ， 我 们 只 要 使 用 正解 让 客户 端 可 以 正确 的 找到 我 
们 服务 口 的 


IP 即 可 架 站 ， 举 例 来 说 WWW 服务 器 束 是 这 样 。 不 过 ， 由 于 目前 收 信 
端的 邮件 服务 器 会 


针对 邮件 来 源 的 IP 进行 反 解 ， 而 如 果 你 的 网 络 环 境 是 由 拨 接 取得 非 固 
定 的 IP 时 ， 该 


种 IP 在 ISP 方面 通常 会 主动 的 以 xxx.dynamic.xxx 之 类 的 主机 名 来 管 
理 ， 偏 偏 这 样 


的 主机 名 会 被 主要 的 大 型 邮件 服务 器 (例如 hotmail, yahoo 等 ) 视 为 垃圾 


信件 ， 所 
以 你 的 邮件 服务 器 所 发 出 的 信件 将 可 能 被 丢弃 ， 那 可 残 伤 脑筋 了 ! 


所 以 啊 ， 如 果 你 想 要 架设 一 部 Mail server 的 话 ， 请 [务必 」 向 您 的 上 层 
ISP 申 


请 IP 反 解 的 对 应 ， 不 要 再 使 用 预 设 的 反 解 主机 名 ， 人 否则 很 容易 导致 您 
的 邮件 服务 器 


所 发 出 的 信件 会 在 Internet 上 面 流 浪 啊 ! 











Tips: 

其 实 你 还 是 可 以 不 用 申请 IP 的 反 解 ， 不 过 就 得 要 利用 所 谓 的 
relayhost 或 者 是 smarthost 来 处 理 邮 件 转 递 的 问题 ， 这 个 部 分 
又 涉及 到 上 层 ISP 的 问题 ， 挺 复杂 ! 我们 会 在 后 续 作 说 明 ! 


需要 DNS 的 MX 及 A 标志 啊 (超重 要 的 MX)! 


了 王 
0 DNS 的 信息 来 进行 邮件 的 


递 的 ? 还 


记得 在 十 九 童 DNS 里 面谈 到 的 MX 这 个 标志 吗 ? 当时 我 们 仅 说 过 这 个 
MX 代表 的 是 
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Mail eXchanger， 当 一 封 邮 件 要 传送 出 去 时 ， 邮 件 主机 会 先 分 析 那 封 信 
的 『 目 标 主 机 


的 DNS 」， 先 取得 MX 标志 (注意 ，MX 标志 可 能 会 有 多 部 主机 喔 ) 然 
后 以 最 优先 MX 主 


机 为 准将 信 发 送出 去 。 看 不 懂 吗 ? 没关系 ， 我 们 以 底下 这 个 DNS 范例 


说 : 
Xxyz.com.vbird IN MX 10 mail.xyz.com.vbird 
XyzZ.com.vbird IN MX 20 mail2.xyz.com.vbird 
Xyz.com.vbird IN A aaa.bbb.ccc.ddd 
假如 上 述 的 DNS 设 定 是 正常 的 ， 那 么 : 


当 有 一 封 信 要 传 给 user@xyz.com.vbird 时 ， 由 于 MX 标志 最 低 者 优 
末 


以 该 封 信 会 先 传送 到 mail.xyz.com.vbird 那 部 主机 。 


如 果 mail.xyz.com.vbird 由 于 种 种 原因 ， 导 致 无 法 收 下 该 封 信 时 ， 该 


封 信 


将 以 次 要 MX 主机 来 传送 ， 那 就 是 传送 到 mail2.xyz.com.vbird 那 部 主机 
上 头 ; 





如 果 两 部 MX 主机 都 无 法 负责 的 话 ， 那 么 该 封 信 会 直接 以 A 的 标 
志 ， 永 即 


直接 传送 到 aaa.bbb.ccc.ddd 那个 卫 上 头 去 ， 也 就 是 xyz.com.vbird 本 身 


My! 


在 这 个 过 程 当 中 ， 你 必需 要 注意 到 : mail.xyz.com.vbird 及 
mail2.xyz.com.vbird 


必需 要 是 可 以 帮 xyz.com.vbird 转 信 的 主机 才 行 ， 也 就 是 说 ， 那 两 部 主 
机 通常 是 你 公 


并 不 是 你 随意 填写 的 ! 那 两 部 主机 还 需要 针 
对 你 的 


xyz.com.vbird 来 设 定 『 邮 件 转 递 」 才 行 ! 否则 你 的 信 会 被 跑 挥 的 。 

由 于 现在 的 很 多 邮件 服务 器 会 去 搜寻 MX 这 个 标志 来 判断 目标 邮件 服务 
器 是 否 为 

合法 ， 所 以 你 要 架设 Mail server 虽然 不 必 自 行 设 定 DNS 服务 器 ， 不 过 
你 最 好 要 申请 


一 个 MX 的 标志 才 行 。 此 外 ，MX 标志 一 定 要 设 定 正 确 ， 人 否则 你 的 信件 
将 可 能 会 直接 被 MX 


服务 器 踢 掉 。 为 了 要 设 定 MX 但 是 我 们 没有 上 层 邮件 服务 器 时 ， 所 以 你 
可 以 指定 MX 为 


自己 ， 利 用 自己 当 MX 服务 器 即 可 。 


那么 你 或 许 会 想 ， 这 个 MX 有 喻 好 处 啊 ? 一 般 来 说 ， 如 果 目 标 主 机 挂 点 
时 ， 你 的 邮 


件 通常 会 直接 退还 给 原 发 信者 ， 但 如 条 有 MX 主机 时 ， 这 部 MX 主机 
会 先 将 该 封 信 放 


在 他 的 队列 (queue) 当中， 每 到 你 的 目标 主机 重新 提供 邮件 服务 后 ， 
MX 主机 会 将 你 


的 信件 传送 给 目标 主机 ， 如 此 一 来 你 的 信件 就 比较 不 会 遗失 啊 ! 这 样 
说 ， 您 可 以 了 解 吧 ! 


和 人 和 











Email 的 地 址 写法 


en email 通常 是 『 账 号 @ 主 机 名 」 的 方式 来 处 理 ， 举 例 来 说 
乌 哥 村 


www.centos.vbird 主机 上 面 有 个 dmtsai 的 使 用 者 ， 则 我 的 email 将 会 成 
为 : 


[dmtsai@www.centos.vbird」， 当 有 人 要 和 寄 信 给 我 时 ， 他 会 分 析 @ 后 
面 的 主机 名 ， 


亦 即 www.centos.vbird 的 MX/A 标志 等 等 ， 然 后 再 透 过 刚刚 说 明 的 流程 
来 传 出 信件 。 
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不 池 则 用 把 过 六 用 户 
Mail User ARent (MUA) Mail User Agent (MUA) 
Step 1 
SMIP 


Port 25 









EF 机 之 


Mail Dilivery Agent 
(MDA) 


而 当 我 的 wwwo.centos.vbird. 收 到 这 封 信 时 ， 他 会 将 信 放 到 dmtsai 的 信 
箱 当 中 啦 ! 


底下 我 们 就 来 谈 一 谈 这 个 流程 吧 ! 
22.1.3 邮件 传输 所 需要 的 组 件 (MTA, MUA, MDA) 以 及 相关 协议 


在 开始 介绍 邮件 的 传送 过 程 之 前 ， 我 们 先 来 想 一 想 ， 你 是 如 何 寄 出 电子 
邮件 的 ? 假 


设 你 要 寄 信 给 一 个 用 户 ， 他 的 电子 邮件 是 『a_user@gmailcom」 好 了 ， 
也 就 是 说 ， 你 


要 寄 一 封 信 到 gmail.com 这 个 主机 上 的 意思 。 那 你 的 更 面 计算 机 (举例 
来 说 ， 


Windows 系统 ) 是 否 能 够 将 这 封 信 『 直 接 」 透 过 网 络 送 给 gmail.com 那 
2 


然 不 行 啦 ! 你 得 要 设 定 帮 你 转 信 的 邮件 服务 器 才 行 ! 也 就 是 说 ， 你 必需 
要 先 问 茶 一 部 邮 


以 取得 一 个 合法 的 电子 邮件 权限 后 ， 才 能 够 发 送 邮件 








所 以 说 ， 你 要 寄 出 一 封 信 件 时 是 需要 很 多 接口 的 帮忙 的 ， 帮 下 列 出 一 个 
简单 的 图 示 


来 说 明 : 
图 22.1-1、 电 子 邮 件 的 『 传 送 上 过程 示 意 
我 们 先 来 解释 一 些 专 有 名 词 吧 ! 然后 再 来 说 明 传送 的 流程 : 


A. MUA (Mail User Agent): 





顾名思义 MUA 就 是 『 邮 件 使 用 者 代理 人 4 的 意思 ， 因 为 除非 你 可 以 直 
接 利用 类 


net.qiang(Dhotmail.com 


似 telnet 之 类 的 软件 登入 邮件 服务 器 来 主动 发 出 信件 ， 否 则 您 束 得 要 透 
过 MUA 


来 帮 你 送信 到 邮件 服务 器 上 头 去 。 最 常见 的 MUA 像 是 Mozilla 推出 的 
Thunderbird ( 雷 鸟 ) 自由 软件 ， 或 者 是 Linux 桌面 KDE 常见 的 Kmail ， 
及 








Windows 内 件 的 Outlook Express (OE) 等 。 MUA 主要 的 功能 就 是 收受 
邮件 主 


机 的 电子 邮件 ， 以 及 提供 用 户 浏览 与 编写 邮件 的 功能 ! 
B. MTA (Mail Transfer Agent): 


MUA 儿 用 户 传 送 邮件 到 邮件 主机 上 ， 那 这 部 邮件 主机 如 末 能 够 玫 用 户 


将 这 封 信 寄 


出 去 ， 那 他 就 是 一 部 邮件 传送 主机 (MTA) 啦 ! 这 个 MTA 就 是 『 邮 件 传 
送 代理 人 ] 


i 也 来 顾名思义 一 下 ， 既 然 是 『 传 送 代理 人 上】， 那么 使 用 者 寄 
出 的 信 ， 


帮 用 户 将 属于 该 用 户 的 信件 收 下 时 ， 束 是 找 它 (MTA) ” 束 对 啦 ! 基本 
上 ，MTA 的 


功能 有 这 些 ; 
1. 收受 信件 ， 使 用 简单 邮件 传送 协议 (SMTP) 


MTA 主机 最 主要 的 功能 就 是 : 将 来 自 客 户 端 或 者 是 其 他 MTA 的 来 信 收 
下 











来 ， 这 个 时 候 MTA 使 用 的 是 Simple Mail Transfer Protocol (SMTP)， 

他 使 用 的 是 port 25 啦 ! 

2. 转 递 信 件 : 

如 果 该 封 信件 的 目的 地 并 不 是 本 里 的 用 户 ， 且 该 封 信 的 相关 数据 符合 使 
用 

MTA 的 权力 ， 那么 咱们 的 MTA 束 会 将 该 封 信 再 传送 到 下 一 部 主机 
上 5. 这 

即 是 所 谓 的 转 递 (Relay) 的 功能 。 


总 之 ， 我 们 一 般 提 到 的 Mail Server 就 是 MTA 啦 ! 而 严格 来 说 ， MTA 
鞭 


实 仅 是 指 SMTP 这 个 协议 而 已 。 而 达成 MTA 的 SMTP 功能 的 主要 软件 
包括 老牌 


的 sendmail， 后 起 之 秀 的 postfix， 还 有 qmail 等 等 。 底 下 我 们 来 看 看 ， 
那么 

在 MITA 上 头 还 有 哪些 重要 的 功能 。 

C. MDA (Mail Delivery Agent): 


字面 上 的 意思 是 『 邮 件 递送 代理 人 」 的 意思 。 事 实 上 ， 这 个 MDA 是 挂 
在 MTA 底 


下 的 一 个 小 程序 ， 最 主要 的 功能 就 是 : 分 析 由 MTA 所 收 到 的 信件 表 头 
或 内 容 等 


Bb 所 以 说 ， 上 面 提 到 的 MTA 的 信件 转 递 
功能 ， 其 
实 是 由 MDA 达成 的 。 举例 来 说 ， 如 果 MTA 所 收 到 的 这 封 信和 目标 是 自 
己 ， 那 么 





MDA 会 将 这 封 信 给 他 转 到 使 用 者 的 信箱 (Mailbox) 去 ， 如 果 不 是 呢 ? 
那 就 准备 


要 转 北 出 去 了 。 此 外 ，MDA ”还 有 分 析 与 过 滤 邮 件 的 功能 喔 ! 举例 来 


说 
1. 过 滤 垃 圾 信件 : 
可 以 根据 该 封 邮 件 的 表 头 资料 ， 或 者 是 特定 的 信件 内 容 来 加 以 分 析 过 


例如 某 个 广告 信 的 主题 都 是 固定 的 ， 如 『AV 情色 .…] 等 等 ， 那 就 可 以 
透 过 MDA 来 过 滤 并 去 除 该 邮件 。 
2. 自动 回复 : 


0 内 无 法 立即 回信 时 ， 就 可 以 透 过 MDA 的 
有 
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邮件 主机 可 以 自动 及 出 回复 信件 ， ”如 此 您 的 朋友 残 不 会 认为 你 太 


牌 ! 入 和 


各 主要 的 MTA 程序 (sendmail,postfix...) 都 有 自己 的 MDA 功能 ， 不 过 有 
此 
ee 举例 来 说 procmail 就 是 一 个 过 小 的 好 帮手 ， 鸭 


Mailscanner + Spamassassion 也 是 可 以 使 用 的 一 些 MDA 喔 。 
D. Mailbox: 


就 是 电子 邮件 信箱 嘛 ! 简单 的 说 ,就 是 某 个 账号 专用 的 信件 收受 档案 
哆 。 我 们 的 


Linux 系统 默认 的 信箱 都 是 放 在 /var/spool/mail/ 使 用 者 账号 中 ! 若 MTA 
所 


和 MDA 就 会 将 信件 送 到 该 mailbox 当中 去 
虽 ! 
好 了 ， 那 么 来 想 一 想 ， 你 如 何 透 过 MUA 来 将 信件 送 到 对 方 的 邮件 信箱 
(Mailbox) 
3? 

Step 0: 取得 某 部 MTA 的 权限 : 


i 二 所 示 ， 我 们 本 地 端的 MUA 想 要 使 用 MTA 来 传 出 信件 
时 ， 当然 


需要 取得 MTA 的 权限 。 通 第 束 是 说 : 我 们 必须 要 癌 MTA 注册 一 组 可 
使 用 email 


的 账号 与 密码 才 行 。 
Step 1: 使 用 者 在 MUA 上 编写 信件 后 ， 传 送 至 MTA 上 头 : 
用 户 在 MUA 上 面 编 写 信件 ， 信 件 的 数据 主要 有 : 
o 信件 标 头 : 包括 发 件 人 与 收 件 者 的 email 地址， 还 有 该 封 信件 的 主 
则 (subjecb 等 ; 
o 信件 内 容 : 就 是 你 要 跟 对 方 说 明 的 内 容 啦 1! 


编写 完毕 之 后 只 要 按 下 传送 钮 ， 该 封 信 就 会 送 全 你 的 MTA 服务 器 上 面 
了 ， 注 意 : 


是 你 的 MTA 而 不 是 对 方 的 MTA ! 如 果 你 确定 可 以 使 用 该 部 MTA， 那 
么 你 的 这 


封 信 就 会 被 放置 到 MTA 的 队列 (queue) 当中 并 等 待 传送 出 去 了 。 








Step 2.1: 如 果 该 封 信 的 目标 是 本 地 端 MTA 目 己 的 账号 


你 是 可 以 寄 信 给 你 上 自己 的 ， 所 以 如 果 你 的 MTA 收 到 该 封 信件 的 目标 是 
目 己 的 用 


户 时 ， 那 束 会 透 过 MDA 将 这 封 信 送 到 Mailbox 去 哆 ! 


Step 2.2: 如 果 该 封 信 目 的 为 其 他 MTA ， 则 开始 转 递 (Relay) 的 流 


2 
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那 如 果 这 封 信 的 目标 是 其 他 的 主机 呢 ? 这 个 时 候 我 们 的 MTA 就 会 开始 
分 析 该 寺 


人 大 具有 权限 时 ， 则 我 们 的 MDA 会 开始 进行 邮 


I MTA 向 下 一 部 MTA 的 smtp (port 25) 发 送 
出 小 


如 果 该 封 信件 顺利 的 发 送出 去 了 ， 那 么 该 封 信件 就 会 由 队列 当中 移 除 挥 
Ts 


Step 3: 对 方 MTA 服务 器 收受 信件 


如 果 一 切 都 没有 问题 的 话 ， 远 程 的 MTA 会 收 到 我 们 MTA 所 发 出 的 那 
封 信 ， 并 将 


“0 的 使 用 者 信箱 当中 ， 等 待 使 用 者 登入 来 读 取 或 下 
载 。 





在 这 整个 过 程 当中 ， 你 会 发 现 你 的 信件 是 由 我 们 的 MTA 帮忙 发 送出 去 
的 ， 此 时 MTA 


提供 的 协议 是 简单 邮件 传输 协议 (Simple Mail Transfer Protoco], smtp)， 
并 且 该 





0 是 集 留 在 对 方 主机 的 MTA 上 头 ! 并 不 是 你 朋友 的 MUA 上 头 
中 可 ! 


Tips: 

为 何 特别 强调 这 一 点 ? 因为 以 前 有 个 朋 有 跟 我 说 : 『 鸟 哥 啊 ， 你 要 
寄 email 给 我 的 时 候 记 得 跟 我 讲 ， 那 我 下 班 前 将 计算 机 开 着 ， 以 
免 你 信 寄 不 到 我 的 信箱 」， 此 时 额头 三 条 线 突 然 跑 出 来 一 很 不 好 意 
思 人 一 所 以 这 里 才 要 特别 强调 ， 你 的 MUA 不 必 开 着 啦 ! 要 收 信 时 再 
打开 即 可 。 


了 解 了 传送 信件 时 MTA 需要 局 动 smtp (port 25) 之 后 ， 再 来 我 们 得 要 谈 
谈 那 这 封 信 


件 对 方 要 如 何 接收 啊 ? 
22.1.4 使 用 者 收 信 时 服务 器 端 所 提供 的 相关 协议 : MRA 


那 使 用 者 如 果 想 要 收 信 时 ， 当 然 也 可 以 透 过 MUA 和 直接 来 联机 取得 自己 
的 邮件 信箱 


内 的 数据 啊 ! 整个 过 程 有 扣 像 底下 这 样 : 
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林地 应 四 站 靖 月 
Mail User Agent (MUA) Mail Ur Agend( MUA) 
Stepl Step3 
POP/ IMAP 





本 地 市 仙 用 之 于 人 Se 服 需 这 哨 僻 用 忆 是 伞 便服 器 


Mail Transfer pe (MT A) Ma Transfer Agent (MTA) 


图 22.1-2、 客 户 端 透 过 MRA 收回 信件 的 流程 示意 图 
在 上 述 的 图 示 中 ， 多 了 一 个 邮件 组 件 ， 那 就 是 MRA: 
E. MRA (Mail Retrieval Agent): 


使 用 者 可 以 透 过 MRA 服务 器 提供 的 邮政 服务 协议 (Post Office Protocol， 
POP) 


来 收 下 自己 的 信件 ， 也 可 以 透 过 IMAP (Internet Message Access 
Protocol) 协 


a 留 在 邮件 主机 上 面 ， 并 进一步 建立 邮件 数据 匣 等 进 
阶 工 


也 就 是 说 ， 当 客户 端 收受 信件 时 ， 使 用 的 是 MRA 的 POP3, IMAP 等 通 
讯 协议 ， 


并 非 MTA 的 SMTP 喔 ! 
我 们 先 谈 一 谈 POP3 的 收 信和 方式 吧 : 


1. MUA 透 过 POP3 (Post Office Protocol version 3) 的 协议 连接 到 MRA 
的 


port 110， 并 且 输 入 账号 与 密码 来 取得 正确 的 认证 与 授权 ; 
2. MRA 确认 该 用 户 账 号 /密码 没有 问题 后 ， 会 前 往 该 使 用 者 的 Mailbox 


ee 者 账号 ) 取得 使 用 者 的 信件 并 传送 给 用 户 的 MUA 软 


ee 
3. 当 所 有 的 信件 传送 完毕 后 ， 用 户 的 mailbox 内 的 数据 将 会 被 删除 ! 


在 上 述 的 流程 当中 我 们 知道 MRA 必须 要 启动 POP3 这 个 协议 才 行 ， 不 
过 这 个 协议 


的 收 件 方式 比较 有 趣 ， ”因为 使 用 者 收 信和 是 由 第 一 封 信件 开始 收 下 直到 
最 后 一 封 信件 传 


输 完毕 为 止 。 不 过 由 于 茶 些 MUA 程序 撰写 的 问题 ， 奉 有 些 邮件 有 病毒 
的 可 能 性 时 ， 透 


过 防 病毒 软件 将 可 能 导致 该 MUA 软件 的 断 线 ! 如 此 一 来 由 于 传输 没有 
完毕 ， 因 此 MRA 


主机 并 不 会 将 用 户 的 信件 删除 。 “此 时 如 果 使 用 者 又 再 一 次 的 按 下 接收 
按键 ， 呵 呵 ! 原 


来 已 接收 的 信件 又 会 重复 收 到 ， 而 没有 收 到 的 还 是 收 不 到 ! 
这 个 时 候 或 许 你 可 以 适 过 敬 入 主机 利用 mail 这 个 指令 来 处 理 你 有 问题 
的 邮件 ， 














或 许 换 一 种 MUA 也 是 个 不 错 的 思考 方向 ， 叉 或 者 暂时 将 防 病毒 软件 关 
掉 也 是 可 以 考虑 
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各 
的 手段 之 一 。 转 头 过 来 想 一 想 ， 因 为 POP3 的 协议 预 设 会 将 信件 删除 ， 


那 如 果 我 今天 


在 办 公 室 将 我 的 信 收 到 办 公 室 的 计算 机 中 ， 当 我 回 家 时 再 度 司 动 MUA 
时 ， 是 否 能 够 收 


到 已 经 被 接收 的 信件 ? 当然 不 行 ， 对 吧 ! 


或 许 你 需要 更 有 帮助 的 协议 ， 亦 即 IMAP (Internet Messages Access 
Protocol) ， 


这 个 协议 可 以 让 你 将 ” mailbox 的 数据 转 存 到 你 主机 上 的 家 目录 ， 亦 即 
home/ 账 亏 / 那 


个 目录 下 ， 那 你 不 但 可 以 建立 邮件 数据 车， 也 可 以 针对 信件 分 类 管 
理 ， 而 且 在 任何 一 


个 可 连 上 网 络 的 地 方 你 只 要 登入 主机 ， ”原本 的 信件 残 还 是 存在 响 ! 真 
是 好 啊 ! 


不 过 ， 使 用 IMAP 时 ， 用 户 的 目录 最 好 能 够 加 点 限制 ， 例 如 利用 quota 
来 管理 用 


户 的 硬盘 权限 ， 否则 因为 信件 都 在 主机 上 头 ， 如 果 用 户 过 多 且 误 用 
时 ， 你 的 硬盘 空间 


会 被 吃 光 光 喔 ! 注意 注意 ! 


OK! 透 过 上 面 的 说 明 你 要 知道 ， 要 架设 一 部 可 以 使 用 MUA 进行 收发 
信件 的 MTA， 


MRA 服务 器 ， 你 至 少 也 需要 启动 SMTP 以 及 POP3 这 两 个 协议 才 行 ! 
而 这 两 个 协议 的 局 


动 程序 并 不 相同 ， 所 以 架设 上 还 是 得 要 小 心 注意 啊 ! 








pop3s, imap2 与 SMTP 的 困扰 





邮件 数据 在 因特网 上 面 传输 时 ， 透 过 的 SMTP，POP3，IMAP 等 通讯 协 
议 ， 通 通 是 明 


码 传输 的 ! 尤其 POP3, IMAP 这 两 个 通讯 协议 中 ， 使 用 者 必须 要 输入 账 
号 /密码 才能 收 


受信 件 ! 因为 涉及 帐 密 ， 所 以 当然 加 密 这 两 个 通讯 协议 的 数据 较 佳 ! 
于 是 就 有 了 POP3s， 


IMAPs 通讯 协议 出 现 了 ! 透 过 SSL 加 密 嘛 ! 那 你 会 问 ， 既 然 已 经 有 
pop3s, imaps 了 ， 


那 有 没有 smtps 呢 ? 答案 是 ， 当 然 有 ! 只 不 过 没 人 用 ! 


从 图 22.1-1 及 图 22.1-2 的 流程 来 看 ，POP3, IMAP 只 与 MRA 及 自己 的 
用 户 有 关 ， 


因此 你 只 要 跟 你 的 用 户 说 ， 你 服务 器 使 用 的 MRA 协议 为 何 ， 通 知 你 的 
用 户 改 变 即 可 ， 


并 不 会 影响 到 其 他 的 服务 器 。 但 是 MTA 就 不 同 了 ! 因为 MTA 必须 与 
其 他 的 MTA 沟通 ， 


因此 ， 若 你 使 用 了 smtps ， 那 么 全 世界 与 你 的 MTA 沟通 者 ， 通通 需要 
改变 为 smtps 通 


讯 协 议 才 行 ! 这 个 工程 实在 太 浩 大 了 ! 目前 还 没有 任何 一 家 ISP 有 能 
进行 ! 所 以 ， 


就 造成 目前 没有 SMTPs 的 协议 哆 。 


ee 
法 加 密 ， 那 


么 你 束 目 己 将 邮件 数据 加 密 后 ， 再 交 由 MTA 传送 即 可 ! 这 也 是 目前 很 
多 急需 加 密 数 据 


的 邮件 用 户 所 使 用 的 手段 啦 ! 和信 





22.1.5 Relay 与 认证 机 制 的 重要 性 
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ee MTA 帮 你 将 信 寄 送 到 下 一 部 MTA 去 时 ， 这 个 动作 就 称 为 邮 


(Relay) 嗓 ， 那 就 是 图 22.1-1 当中 的 Step 2.2 那个 动作 啦 。 那 么 我 们 来 想 
一 想 ， 如 

果 『 所 有 的 人 都 可 以 藉 由 这 一 部 MTA 帮忙 进行 Relay 时 ， 这 个 情况 称 
之 为 Open 


Relay 的 动作 上 。 当 你 的 MTA 发 生 Open Relay 时 ， 会 有 什么 问题 ? 问 
题 可 就 大 了 ! 


当 你 的 MTA 由 于 设 定 不 良 的 关系 导致 具有 Open Relay 的 状况 ， 加 上 你 
的 MTA 确 


实 是 连 上 因特网 时 ， 由 于 因特网 上 面 用 port scan 软件 的 内 人 太 多 ， 你 
的 MTA 具有 


Open Relay 的 功能 这 件 事情 ， 将 会 在 短 时 间 内 就 被 很 多 人 察觉 ， 此 时 
那些 不 法 的 广告 


信 、 色 情 垃圾 信 业 者 将 会 利用 你 的 这 部 Open Relay MTA 发 送 他 们 的 广 
由， 所 以 你 会 发 


生 的 问题 至 少 有 : 


你 主机 所 在 的 网 域 正常 使 用 的 连接 速度 将 会 变 慢 ， 因 为 网 络 带 宽 都 被 
三 


垃圾 信 吃 光 了 ; 


你 的 主机 可 能 由 于 大 量 发 送信 件 导 致 主机 资源 被 耗 扩 ， 容 易 产生 不 明 


机 之 类 的 问题 ; 











EF 











你 的 MTA 将 会 被 因特网 社会 定义 为 『 黑 名 单 」， 从 此 很 多 正 第 的 邮 
件 训 会 


无 法 收发 ; 


你 MTA 所 在 的 这 个 IP 将 会 被 上 层 ISP 所 封锁 ， 直 到 你 解决 这 个 
Open 


Relay 的 问题 为 止 ; 


某 些 用 户 将 会 对 你 的 能 力 产生 质疑 ， 对 您 公司 或 者 是 你 个 人 将 会 有 信 
心 障碍 ! 


甚至 可 能 流失 客 源 ; 


如 果 你 的 MTA 被 利用 来 发 黑 郴 ， 你 是 找 不 到 原 发 信者 的 ， 所 以 你 这 
部 MTA 


将 会 被 追踪 为 最 终 站 ! 


问题 很 大 哟 ! 所 以 啊 ， 目 前 所 有 的 distributions 都 一 样 ， 几 乎 都 将 MTA 


预 设 局 


动 为 仅 监听 内 部 循环 接口 (lo) 而 已 ， 而 且 也 将 Open Relay 的 功能 取消 
了 。 既 然 取 消 


Open Relay 的 功能 ， 那 么 怎么 使 用 这 部 MTA 的 Relay 来 帮忙 转 信 啊 ? 
呵呵 ! 所 以 我 


们 在 上 头 才 会 一 直 说 ， 你 『 必 需 上 取得 合法 使 用 该 MTA 的 权限 啊 ! 这 
也 就 是 说 ， 设 定 


谁 可 以 使 用 Relay 的 功能 就 是 我 们 管理 员 的 任务 啦 ! 通常 设 定 Relay 的 
方法 有 这 几 种 : 


规定 某 一 个 特定 客户 端的 IP 或 网 段 ， 例 如 规定 内 部 LAN 的 


192.168.1.0/24 可 使 用 Relay; 








本 右 客 户 端 的 IP 不 固定 时 (例如 拨 接 取得 的 非 固 定 IP) 可 以 利用 认证 机 
| 


来 处 理 。 


将 MUA 架设 在 MTA 上 面 ， 例 如 OpenWebMail 之 类 的 web 接口 的 
MUA 功 


能 。 

认证 机 制 上 面 常 见 的 有 SMTP 邮件 认证 机 制 ， 以 及 SMTP after POP 两 
哪 一 种 机 制 ， ”基本 上 都 是 透 过 让 使 用 者 输入 认证 用 的 账号 与 密码 ， 来 
确定 他 有 合法 使 


用 该 MTA 的 权限 ， 然 后 针对 通过 认证 者 开启 Relay 的 支持 就 是 了 。 如 
此 一 来 你 的 MTA 


不 再 启动 Open Relay ， 并 且 客 户 端 还 是 可 以 正常 的 利用 认证 机 制 来 收 
发 信件 ， 身 为 


管理 员 的 你 可 就 轻松 多 吹 ! 人 人 
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必 

22.1.6 电子 邮件 的 数据 内 容 

看 过 上 头 的 数据 后 ， 您 应 该 对 于 Mail server 有 一 些 程度 的 认识 了 。 再 来 


要 谈 的 


是 ， 那 么 一 封 email 的 内 容 有 哪些 部 分 呢 ? 束 跟 人 类 社会 的 邮件 有 信 老 
袋 以 及 内 部 的 


信纸 一 样 ，email 也 有 所 谓 的 标 头 (header) 以 及 内 容 (body) 两 部 份 喔 ! 
email 的 标 头 部 分 (类 似 邮件 信封 ) 会 有 几 个 重要 信息 ， 包 括 : 这 封 信 来 


目 那个 


MTA、 是 由 谁 所 及 送出 来 的 、 要 送 给 谁 、 主旨 为 何等 等 ， 至 于 内 容 (类 
似 信封 内 的 信纸 ) 


则 古 发 信者 所 车 写 的 一 综 襄 明史 。 如 果 你 使 用 dmtsai 的 身份 下 达 这 个 指 
让 








[dmtsai@www ~]$ echo "HaHa.." | mail -s "from vbird" dmtsai 

然后 将 自己 的 信箱 内 容 叫 出 来 ， 如 下 所 示 : 

[dmtsai@www ~]$ cat /var/spool/mail/dmtsai 

From dmtsai@Owww.centos.vbird Mon Aug 8 18:53:32 2011 <== 发 信者 的 
email 

Return-Path: <dmtsai@www.centos.vbird> <== 这 封 信 的 

X-Original-To: dmtsai 

Delivered-To: dmtsai(Wwww.centos.vbird 

Received: by www.centos.vbird (Postfix, from userid 2007) 

id 6D1C8366A; Mon, 8 Aug 2011 18:53:32 +0800 (CST) <== 邮 件 

ID 

# 这 部 份 主要 在 讲 这 封 email 的 来 源 与 目标 收 件 者 MTA 在 哪里 的 信息 一 
Date: Mon, 08 Aug 2011 18:53:32 +0800 <== 收 到 信件 的 日 期 

To: dmtsai@www.centos.vbird <== 收 件 者 是 谁 啊 ! 


Subject: from vbird <== 就 是 信件 标题 


User-Agent: Heirloom mailx 12.4 7/29/08 
MIME-Version: 1.0 

Content-Type: text/plain; charset=us-ascii 
Content-Transfer-Encoding: 7bit 


Message-Id: <20110808105332.6D1C8366A@www.centos.vbird> <== 给 机 
省 


的 邮件 ID 
From: dmtsai@www.centos.vbird <== 发 信者 是 谁 啊 ! 
HalHa.. 


由 原本 的 信件 内 容 我 们 可 以 看 到 email 确实 是 两 部 份 ， 在 标 头 部 分 记录 
了 比较 详细 的 


收 、 发 件 者 数据 ， 以 及 相关 的 来 源 、 目 标 之 MTA 信息 等 等 。 但 你 要 注 


意 的 是 ， 那 个 


[Received:...」 那 一 行 资料 是 『 会 变动 的 ] ， 如 同 前 面谈 到 的 MX 标 
志 ， 如 果 一 封 


信 由 MUA 传送 到 MTA 在 由 MTA 传送 到 MX 主机 后 ， 才 传送 到 最 终 
的 MTA 时 ， 那么 
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这 个 Received: 的 数据 将 会 记录 每 一 部 经 手 过 的 MTA 信息 喔 ! 所 以 你 
可 以 借 着 这 个 记 


录 数 据 慢 慢 的 找 回 这 封 信 的 传递 方 辐 呢 ! 


此 外 ， 这 个 邮件 的 标 头 以 及 内 容 的 分 析 部 分 ， 你 还 可 以 籍 由 东 些 分 析 软 
件 来 进行 过 


滤 ， 这 部 份 我 们 将 在 后 头 再 慢 慢 的 介绍 给 大 家 了 解 哩 ! 人 人! 您 先知 道 
一 封 邮件 至 少 


有 这 些 数据 ， 以 后 咱们 再 慢 慢 的 解释 嗓 ! 
22.2 MTA 服务 器 : ”Postfix 基础 设 定 


可 达成 MTA 的 服务 器 软件 非常 多 ， 例 如 我 们 的 CentOS 预 设 戚 提供 了 
数 十 年 老牌 


子 的 sendmail (http://www.sendmail.org) 以 及 近期 以 来 很 热门 的 Postfix 


(http:/www.postfix.org)。 昌 然 sendmail 曾 是 最 为 广泛 使 用 的 mail server 
软件 ， 


但 由 于 sendmail 的 配置 文件 太 过 于 难 懂 ， 以 及 早期 的 程序 漏洞 问题 导致 
的 主机 安全 性 


缺失 ; 加 上 sendmail 将 所 有 的 功能 都 统合 在 /usr/sbin/sendmail 这 个 程序 
当中 ， 导 


致 程序 太 大 可 能 会 有 效能 方面 的 疑虑 等 等 ， 所 以 新 版 的 CentOS 已 经 将 
预 设 的 mail 


server 调整 为 postfix 哆 ! 我 们 这 里 也 主要 介绍 postfixz。 当 然 啦 ， 原 理 方 
面 都 一 样 ， 


您 也 可 以 自己 玩 玩 其 他 的 mail server。 
22.2.1 Postfix 的 开发 





Postfix 是 由 Wietse Zweitze Venema 先 


生 ( http://www.porcupine.org/wietse) 


所 发 展 的。 早期 的 mail server 都 是 使 用 sendmail 架设 的 ， 还 真 的 是 『 仅 
此 一 家 ， 


绝 无 分 号 上 」 ! 不 过 ，Venema 博士 觉得 sendmail 虽然 很 好 用 ， 但 是 毕竟 
不 够 安全 ， 尤 


其 效能 上 面 并 不 十 分 的 理想 ， 最 大 的 困扰 是 ...sendmail 的 配置 文件 
sendmail.cf 真 


的 是 太 难 全 了 ! 对 于 网 省 人 员 来 说 ， 要 设 定好 sendmail.cf 这 个 档案 ， 真 
不 是 人 作 的 


is 


为 了 改善 这 些 问 题 ， Venema 博士 就 在 1998 年 利用 他 老大 在 IBM 公司 
了 啊 第 宇 尖 


休假 年 进行 一 个 计划 : 『 设计 一 个 可 以 取代 sendmail 的 软件 套件 ， 可 
以 提供 网 站 管 


理 员 一 个 更 快速 、 更 安全 、 而 且 完 全 兼容 于 sendmail 的 mail server 软 
件 ! 」 这 个 


计划 还 真 的 成 功 了 ! 而 且 也 成 功 的 使 用 在 IBM 内 部 ， 在 IBM 内 可 以 说 
是 完全 取代 了 


sendmail 这 个 邮件 服务 器 ! 在 这 个 计划 成 功 之 后 ， Venema 博士 也 在 
1998 年 首次 释 


出 这 个 自行 发 展 的 邮件 服务 器 ， 并 定名 为 VMailer。 


不 过 ，IBM 的 律师 却 发 现 一 件 事 ， 那 就 是 VMailer 这 个 名 字 与 其 他 已 注 
册 的 商标 


很 类 似 ， ”这 样 可 能 会 引起 一 些 注 册 上 面 的 困扰 。 为 了 避免 这 个 问题 ， 
所 以 Venema 博 


士 束 将 这 个 邮件 软件 名 称 改 为 Postfix ! 
『Post 有 在 什么 什么 之 后 」 的 意思 ， 
[fix 则 


是 修订 上 」 的 意思 ， 所 以 postfix 有 『 在 修订 之 后 」 的 意思 。 
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乌 哥 个 人 认为 ， Venema 先生 最 早 的 构想 并 不 是 想 要 『 创 造 一 个 全 新 的 
Mail 


server 软件 ， 而 是 想 要 制造 一 个 可 以 完全 兼容 于 sendmail 的 软件 ]， 所 
以 ，Venema 先 


生 认 为 他 自行 发 展 的 软件 应 该 是 『 改 恨 sendmail 的 缺失 」， 所 以 才 称 为 
Postfix 吧 ! 


取 其 意 为 : 『 改 良 了 sendmail 之 后 的 邮件 服务 器 软件 ! ] 


所 以 啦 ， Postfix ”设计 的 理念 上 面 ， 主 要 是 针对 『 想 要 完全 兼容 于 
sendmail」 所 


设计 出 来 的 一 丈 『 内 在 部 分 完全 新 闲 」 的 一 个 邮件 服务 器 软件 。 束 是 由 
于 这 个 理念 ， 


此 Postfix 改善 了 sendmail 安全 性 上 面 的 问题 ， 改 恨 了 mail server 的 工 


作 效 率 


且 让 配置 文件 内 容 更 具 杀 和 力 ! 因此 ， 你 可 以 轻易 的 由 sendmail 转换 到 
Postfix 上 


面 ! 这 也 是 当初 Venema 博士 的 最 初 构想 啊 ! 


就 是 基于 这 个 构想 ， 所 以 ” Postfix ”在 外 部 配置 文件 案 的 支持 度 ， 与 
sendmail 几 


0 同样 的 支持 aliases 这 个 档案 ， 同 样 的 支持 ~/.forward 这 个 
当 案 ， 也 


同样 的 支持 SASL 的 SMTP 邮件 认证 功能 等 等 ! 所 以 ， 呵 呵 ! 赶紧 来 


学 一 学 怎样 架设 


Postfix 这 个 相当 出 色 的 邮件 服务 器 吧 ! 人 人 
22.2.2 所 需要 的 软件 与 软件 结构 


由 于 CentOS 6.x 预 设 就 是 提供 postfix 的 ! 所 以 根本 无 须 调 整 啥 歇 歇 一 
直接 来 


0 吧 ! 那么 postfix 有 哪些 重要 的 配置 文件 呢 ? 他 主要 的 配置 文件 都 
代 


/etc/postfix/ 当中 ， 详 细 的 档案 内 容 就 让 我 们 来 谈 谈 : 
/etc/postfix/main.cf 


、 postfix 配置 文件 吃 ， 几 乎 所 有 的 设 定 参数 都 是 在 这 个 档 
条 内 规 


范 的 ! ”这 个 档案 预 设 就 是 一 个 完整 的 说 明 档 了 ， 你 可 以 参考 这 个 档案 
的 内 容 就 


设 定好 属于 你 的 postfix MTA 呢 ! 只 要 修改 过 这 个 档案 ， 记 得 要 重新 局 
A 


postfix 喔 ! 
/etc/postfix/master.cf 


主要 规定 了 postfix 每 个 程序 的 运作 参数 ， 也 是 很 重要 的 一 个 配置 文 
1 A 


这 个 档案 预 设 已 经 很 OK 了 ， 通 常 不 需要 更 改 他 。 
/etc/postfix/access (利用 postmap 处 理 ) 


We 0 Relay 或 拒绝 联机 的 来 源 或 目标 地 址 等 信息 的 外 部 配置 文 


过 这 个 档案 要 生效 还 需要 在 /etc/postfix/main.cf 启动 这 个 档案 的 用 途 才 
行 。 














且 设 定 完毕 后 需要 以 postmap 来 处 理 成 为 数据 库 档 案 呢 ! 
/etc/aliases (利用 postalias 或 newaliases 均 可 ) 
做 为 邮件 别名 的 用 途 ， 也 可 以 作为 邮件 群 组 的 设 定 喔 ! 
至 于 常见 的 执行 档 则 有 底下 这 些 : 
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/usr/sbin/postconf (查阅 postfix 的 设 定数 据 ) 


0 目前 你 的 postfix 的 详细 设 定数 据 ， 包 括 系统 默认 值 
会 


列 出 来 ， 所 以 数据 量 相当 的 庞大 ! 如 果 你 在 main.cf 里 面 曾 经 修改 过 某 


些 预 设 


0 想 要 仅 列 出 非 默 认 值 的 设 定数 据 ， 则 可 以 使 用 『postconf - 
D|」 这 -1 


选项 即 可 。 
/usr/sbin/postfix (主要 的 daemon 指令 ) 


， 的 主要 执行 档 ， 你 可 以 简单 的 使 用 他 来 局 动 或 重新 读 取 配 
文件 : 





[root@www ~]# postfix check <== 检 查 postfix 相关 的 档案 、 权 限 等 是 否 
正确 ! 


[root@www ~]# postfix start <== 开 始 postfix 的 执行 

[root@www ~]# postfix stop <== 关 闭 postfix 

[root@www ~]# postfix flush <== 强 制 将 目前 正在 邮件 队列 的 邮件 寄 出 ! 
[root@www ~]# postfix reload <== 重 新 读 入 配置 文件 ， 也 就 是 


/etc/postfix/main.cf 


要 注意 的 是 ， 每 次 更 动 过 main.cf 后 ， 务 必 重 新 启动 postfix， 可 简单 的 
使 用 


『postfix reload」 即 可 。 不 过 老实 说 ， 乌 哥 还 是 习惯 使 用 


/etc/init.d/postfix 
reload.. 


/usr/sbin/postalias 


设 定 别名 数据 库 的 指令 ， 因 为 MTA 读 取 数据 库 格 式 的 档案 效能 较 佳 ， 
所 以 我 们 


都 会 将 ASCII 格式 的 档案 重建 为 数据 库 。 在 postfix 当中 ， 这 个 指令 主 


要 在 
转换 /etc/aliases 成 为 /etc/aliases.db 嗓 ! 用 法 为 : 
[root@www ~]# postalias hash:/etc/aliases 
# hash 为 一 种 数据 库 的 格式 ， 然 后 那个 /etc/aliases.db 就 会 自动 被 更 新 
上 5 1 
/usr/sbin/postcat 


主要 用 在 检查 放 在 queue (队列 ) 当中 的 信件 内 容 。 由 于 队列 当中 的 信人 
容 是 


给 MTA 看 的 ， 所 以 格式 并 不 是 一 般 我 们 人 类 看 的 异 的 文字 数据 。 所 以 
这 个 时 候 


你 得 要 用 postcat 才 可 以 看 出 该 信件 的 内 容 。 在 /var/spool/postfix 内 有 相 
J 假设 内 有 一 个 文件 名 为 /deferred/abcfile ， 那 你 可 以 利用 
医 下 


的 方式 来 得 询 该 档案 的 内 容 喔 : 
[root@www ~]# postcat /var/spool/postfix/deferred/abcfile 


/usr/sbin/postmap 


“Ue 令 的 用 法 与 postalias 类 似 ， 不 过 他 主要 在 转换 access 这 个 档案 的 


据 库 啦 ! 用 法 为 : 
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必 


[root@www ~]# postmap hash:/etc/postfix/access 
/usr/sbin/postqueue 
mailq 的 输出 结果 ， 例 如 你 可 以 输入 『postqueue -p」 看 看 就 知道 
整个 postfix 的 软件 结构 大 致 上 是 这 个 样子 的 ， 接 下 来 让 我 们 移 来 简单 
的 处 理 一 
下 postfix 的 收发 信件 功能 吧 ! 
22.2.3 一 个 邮件 服务 器 的 设 定案 例 


前 面谈 到 mail server 与 DNS 系统 有 很 大 的 相关 性 ， 所 以 如 果 你 想 要 架 
设 一 部 可 

以 连 上 Internet 的 邮件 服务 器 时 ， 你 必需 要 已 经 取得 合法 的 A 与 MX 主 
机 名 ， 而 且 


最 好 反 解 也 已 经 疝 您 的 ISP 申请 修改 设 定 了 ， 这 可 是 个 大 前 提 ! 不 要 忽 
略 他 ! 在 底下 





DNS 内 的 设 定 为 依据 ， 主 要 的 参数 是 这 






邮件 服务 器 的 主要 名 称 为 : www.centos.vbird 

邮件 服务 器 尚 有 别名 为 linux.centos.vbird 及 ftp.centos.vbird 也 可 
以 收发 信件 ; 

此 邮件 服务 器 已 有 MX 设 定 ， 直 接 指 同上 自己 (www.centos.vbird) 





这 个 www.centos.vbird 有 个 A 的 标志 指向 192.168.100.254。 


在 实际 的 邮件 服务 器 设 定 当中 ， 上 述 的 几 个 标志 是 很 重要 的 ， 请 自行 参 
考 DNS 章 


节 的 介绍 吧 ! 底下 束 让 我 们 来 实际 设 定 postfix 服务 器 哆 ! 
22.2.4 让 Postfix 可 监听 Internet 来 收发 信件 


在 预 设 的 情况 下 ，CentOS 6.x 的 MTA 仅 针 对 本 机 进行 监听 ， 不 相信 
中? 测 测 看 : 





[root@www ~]#netstat -tinp | grep :25 

Proto Recv-Q Send-Q Local Address Foreign Address State 
PID/Program name 

tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 

3167/master 


所 以 如 果 你 要 对 整个 Internet 开放 的 话 ， 就 得 要 努力 的 搞定 几 个 简单 的 
设 定 吕 ! 而 几 


乎 所 有 的 设 定 你 都 可 已 经 由 /etc/postfix/main.cf 这 个 档案 搞定 ! 修改 前 
你 需要 注意 


的 项 目 有 : 
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『 # 」 符号 是 批注 的 意思 ， 
所 有 设 定 值 以 类 似 『 变 量 」 的 设 定 方法 来 处 理 ， 例 如 myhostname = 


www.centos.vbird， 请 注意 等 号 的 两 边 要 给 予 空格 符 喔 ， 且 第 一 个 字符 
不 可 以 


是 至 白 ， 亦 即 「my..」 要 由 行 首 写 起 ; 
可 以 使 用 『 $ 二 来 延伸 使 用 变量 设 定 ， 例 如 myorigin = 


$myhostname， 会 





等 于 myorigin = www.centos.vbird; 


如 采访 变量 文 持 两 个 以 上 的 数据 ， 则 使 用 空格 符 来 分 隔 ， 不 过 建议 使 


用 逗号 


加 空格 符 [， 来 处 理 。 ”例如 : ”mydestination = $myhostname, 
$mydomain, 


linux.centos.vbird， 意 指 mydestination 支持 三 个 数据 内 容 之 意 。 




















0 即 可 将 数据 延伸 到 第 二 行 继续 书写 (所 以 刚刚 第 二 点 才 说 ， 


能 留 白 ! ); 
在 重复 设 定 某 一 项 目 ， 则 以 较 晚 出 现 的 设 定 值 为 准 ! 


postfix 可 以 收发 信件 时 ， 你 必需 要 启动 的 设 定数 据 有 底下 这 
些 D : 





myhostname: 设 定 主机 名 ， 需 使 用 FQDN 喔 


这 个 项 目 在 于 设 定 你 的 主机 名 ， 且 这 个 设 定 值 会 被 后 续 很 多 其 他 的 参数 
所 引用 ， 


所 以 必须 要 设 定 正 确 才 行 。 ”你 应 该 要 设 定 成 为 完整 的 主机 名 。 在 鸟 哥 
的 这 个 练 


习 当 中 ， 应 该 设 定 为 : myhostname = www.centos.vbird 才 对 。 除了 这 
个 设 定 


信之 外 还 有 = 个 mydomain 的 设 定 项 目 ， 这 个 项 目 默 认 会 取 
$myhostname 第 


一 个 『.」 之 后 的 名 称 。 举例 来 说 上 头 设 定 完毕 后 ， 预 设 的 ”mydomain 


了 驶 是 
centos.vbird 嗓 ! 你 也 可 以 自行 设 定 他 。 
myorigin : 发 信 时 所 显示 的 『 发 信 源 主机 上 」 项 目 


这 个 项 目 在 设 定 『 邮 件 头 上 面 的 mail from 的 那个 地 址 上 」， 也 就 是 代表 
本 MTA 


传 出 去 的 信件 将 以 此 设 定 值 为 准 咀 ! 如 果 你 在 本 机 寄 信 时 起 记 加 上 Mail 


位 om 


字样 的 话 ， 那么 就 以 此 值 为 准 了 。 默 认 这 个 项 目 以 $myhostname 为 主 
的 ， 例 如 : 


myorigin = $myhostname 
inet_interfaces : 设 定 postfix 的 监听 接口 ( 极 重 要 ) 


在 预 设 的 情况 下 你 的 Postfix 只 会 监听 本 机 接口 的 lo (127.0.0.1) 而 已 ， 
如 


果 你 想 要 监听 整个 Internet 的 话 ， 请 开放 成 为 对 外 的 接口 ， 或 者 是 开放 
给 全 








部 的 接口 ， 和 常见 的 设 定 方 法 为 : inet_interfaces = all 才 对 ! 由 于 如 果 有 
重 





复 设 定 项 目 时 ,会 以 最 晚 出 现 的 设 定 值 为 准 ， 所 以 最 好 只 保留 一 组 
inet_interfaces 的 设 定 喔 ! 

inet_protocols : 设 定 postfix 的 监听 卫 协议 
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预 设 CentOS 的 postfix 会 去 同时 监听 IPv4, IPv6 两 个 版 本 的 了 下， 如 果 你 
的 





网 络 环境 里 面 仅 有 IPv4 时 ， 那 可 以 直接 指定 inet_protocols = ipv4 束 会 
避 


免 看 到 :::1 之 类 的 IP 出 现 哆 ! 
mydestination : 设 定 『 能 够 收 信 的 主机 名 」 ( 极 重要 ) 


7 因为 我 们 的 主机 有 非常 多 的 名 字 ， 那 么 对 方 填 
写 的 mail 


to ”到底 要 写 哪 个 主机 名 字 我 们 才能 将 该 信件 收 下 ? 就 是 在 这 里 规范 
的 ! 也 就 是 

0 仅 有 写 入 这 个 设 定 值 的 名 称 才能 作为 ”email 
I 主机 


地 址 。 在 我 们 这 个 练习 当中 这 部 主机 有 三 个 名 字 ， 所 以 写法 为 : 


mydestination 














= $myhostname, localhost, linux.centos.vbird, ftp.centos.vbird 


如 果 你 想 要 将 此 设 定 值 移动 到 外 部 档案 ， 那 可 以 使 用 类 似 欣 下 的 作法 : 





mydestination = /etc/postfix/local-host-names ， 然 后 在 local-host-names 


里 面 将 可 收 信 的 主机 名 写 入 即 可 。 一 般 来 说 ， 不 建议 你 额外 建立 


local-host-names 这 个 档案 啦 ， 直接 写 入 main.cf 即 可 说 ! 特别 留意 的 
日 
AE， 





如 果 你 的 DNS 里 头 的 设 定 有 MX 标志 的 话 ， 那 么 请 将 MX 指 同 的 那个 
主机 名 一 





定 要 写 在 这 个 mydestination 内 ， 个 则 很 容易 出 现 错误 讯 恩 喔 ! 一 般 来 
说 ， 使 


用 者 最 党 发 生 错 误 的 地 方 就 在 这 个 设 定 里 头 呢 ! 
mynetworks_style : 设 定 『 信 任 网 域 」 的 一 项 指标 


这 个 设 定 值 在 规定 『 与 主机 在 同一 个 网 域 的 可 信任 客户 端的 意思 ! 举 
例 来 说 ， 


鸟 哥 的 主机 IP 是 192.168.100.254， 如 果 我 相信 整个 局 域 网 络 内 
(192.168.100.0/24) 的 用 户 的 话 ， 那 我 可 规定 此 设 定 值 为 『 subnet 」 响 ! 
不 





过 ， 一 般 来 说 ， 因 为 底下 的 mynetworks 会 取代 这 个 设 定 值 ， 所 以 不 设 
定 也 没 


有 关系 喔 ! 如 果 要 设 定 的 话 ， 最 好 设 定 成 为 host 即 可 ( 亦 即 仪 信任 这 部 
MTA 主 


机 而 已 )。 

mynetworks : 规定 信任 的 客户 端 ( 极 重要 ) 
你 的 MTA 能 不 能 帮忙 进行 Relay 与 这 个 设 定 值 最 有 关系 ! 举例 来 说 ， 
我 要 开放 
本 机 与 内 部 网 域 的 ”IP ”时 ， 就 可 以 这 样 进行 设 定 : mynetworks = 
127.0.0.0/8, 

















192.168.100.0/24。 如 果 你 想 要 以 /etc/postfix/access 这 个 档案 来 控制 


relay 的 用 户 时 ， 那 驴 哥 可 以 建议 你 将 上 述 的 数据 改写 成 这 样 : 


mynetworks = 

127.0.0.0/8, 192.168.100.0/24, hash:/etc/postfix/access 然后 你 只 要 再 建 

Y access 之 后 重 整 成 数据 库 后 ， 嘿 嘿 ! 束 能 够 设 定 Relay 的 用 户 哆 ! 
relay_domains : 规范 可 以 帮忙 relay 的 下 一 部 MTA 主机 地 址 


相对 于 mynetworks 是 针对 『 信 任 的 客户 端 1 而 设 定 的 ， 这 个 


relay_domains 则 


可 以 视 为 [针对 下 游 MTA 服务 器 1 而 设 定 的 。 举 例 米 说 ， 如 果 你 这 部 
主机 是 


www.niki.centos.vbird 的 MX 主机 时 ， 那 你 就 得 要 在 relay_domains 设 定 
针 


对 整个 niki.centos.vbird 这 个 领域 的 目标 信件 进行 转 递 才 行 。 在 预 设 的 
情况 


下 ， 这 个 设 定 值 是 $mydestination 而 已 啦 。 
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你 必需 要 注意 的 『Postfix 预 设 并 不 会 转 递 MX 主机 的 信件 」， 意 思 束 是 
说 : 如 


果 你 有 两 部 主机 ， 一 部 是 上 游 的 MTAup ， 一 部 是 下 游 的 MTAdown ， 
而 MTAdown 





规范 的 MX 主机 是 MTAup， 
传递 方 


可 想 要 寄 给 MTAdown 主机 的 信件 ， 都 会 先 经 过 





可 ， 我 们 知道 任 
MTAup 来 转 递 


才 行 ! 此 时 如 果 那 部 MTAup 没有 开启 帮 MTAdown 进行 relay 的 权限 
时 ， 那么 


任何 传 给 MTAdown 的 信件 将 [全 部 都 被 MTAup 所 退回 | ! 从 此 
MTAdown 就 无 


法 收 到 任何 信件 了 。 


上 一 段 的 说 明 请 您 特别 再 想 一 想 ， 因 为 如 果 你 在 大 公司 服务 而 且 你 的 公 
Es 


游 均 有 mail server 时 ， 并 且 也 有 设 定 MX 的 状况 下 ， 嘿 嘿 ! 这 个 


relay_domains 承 很 重要 啦 ! 上 游 的 MTA 主机 必需 要 局 动 这 个 设 定 。 一 
般 来 说 


MTA 主机 的 MX 源头 ， 人 否则 这 个 设 定 项 目 可 以 忽略 不 设 
定 他 。 而 


如 末 你 想 要 帮 你 的 客户 端 转 递 信件 到 东部 特定 的 MTA 主机 时 ， 这 个 设 
定 项 目 也 


是 可 以 设 定 的 啦 。 默认 请 您 保留 默认 值 即 可 。 
alias_maps : 设 定 邮 件 别 名 


就 是 设 定 邮件 别名 的 设 定 项 目 ， 只 要 指定 到 正确 的 档案 去 即 可 ， 这 个 设 
定 值 可 以 


保留 默认 值 啊 : 


在 了 解 上 述 的 设 定 后 ， 以 乌 哥 的 范例 来 看 的 话 ， 乌 哥 有 更 动 过 或 注 明 重 
要 的 设 定 值 


以 及 相关 档案 是 这 样 处 理 的 : 








[root@www ~]# vim /etc/postfix/main.cf 


myhostname = www.centos.vbird <== 约 在 第 77 行 


myorigin = $myhostname <== 约 在 第 99 行 

inet_interfaces = all <== 约 在 第 114 行 ，117 行 要 批 

注 掉 

inet_protocols = ipv4 <== 约 在 第 120 行 

mydestination = $myhostname, localhost.$mydomain, localhost, 
linux.centos.vbird, ftp.centos.vbird <== 约 在 第 165,166 行 
mynetworks = 127.0.0.0/8, 192.168.100.0/24, hash:/etc/postfix/access 
<== 约 在 269 行 

relay_domains = $mydestination <== 约 在 第 299 行 

alias_maps = hash:/etc/aliases 

alias_database = hash:/etc/aliases <== 约 在 第 389, 400 行 

# 其 他 的 设 定 值 就 先 保留 默认 值 即 可 啊 ! 

[root@www ~]# postmap hash:/etc/postfix/access 

[root@www ~|]# postalias hash:/etc/aliases 
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因为 main.cf 当中 我 们 有 和 额外 加 入 两 个 外 部 配置 文件 (mynetworks 及 


alias_maps) ， 


所 以 才 会 额外 进行 postmap 及 postalias。 然 后 准备 来 启动 啦 ! 你 可 以 这 
样 处 理 喔 : 


#1. 先 检查 配置 文件 的 语法 是 否 有 错误 





[root@www ~]# /etc/init.d/postfix check <== 没 有 讯息 ， 表 示 没 有 问题 。 
#2. 启动 与 观察 port number 

[root@www ~]# /etc/init.d/postfix restart 

[root@www ~ 1# netstat -tlunp | grep ':25' 

Proto Recv-Q Send-Q Local Address Foreign Address State 

PID/Program name 

tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 

13697/master 


很 简单 吧 ! 这 样 束 设 定 受 当 了 。 假 设 你 的 防火 墙 已 经 处 理 完毕 ， 那 你 的 
Postfix 已 经 


可 以 开放 客户 端 进行 转 递 ， 并 且 也 可 以 收受 信件 哆 ! 不 过 ， 到 底 在 预 设 
的 情况 下 我 们 的 


postfix 可 以 收 下 哪些 信件 ? 又 可 以 针对 哪些 设 定 值 的 内 容 进行 转 递 呢 ? 


这 就 得 要 参 
考 下 一 小 市 的 说 明了 。 
22.2.5 信件 传送 流程 与 收 信 、relay 等 重要 观念 


我 起， 您 对 于 MTA 的 设 定 与 收发 信件 应 该 有 一 定 程度 的 概念 了 ， 不 过 
要 妥善 设 定 


好 你 的 MTA 时 ， 尤其 是 想 要 了 解 到 整 部 MTA 是 如 何 收 、 发 信件 时 ， 
你 最 好 还 是 要 知 


道 [我 这 部 MTA 如 何 接受 来 源 主 机 所 传 来 的 信件 ， 以 及 将 信件 转 递 到 
下 一 部 主机 去 | 


的 整个 流程 啊 。 一 般 来 说 一 封 邮件 传送 会 经 过 许多 的 流程 为 : 








1. 送信 端 与 收 信 端 两 部 主机 间 会 先 经 过 一 个 握手 (ehlo) 的 阶段 ， 此 时 送 


信 踢 
被 记录 为 发 信和 来源 (而 不 是 mail from)。 通过 握手 后 就 可 以 进行 信件 标 头 
(header) 的 传送 ; 


2. 此 时 收 信 端 主机 会 分 析 标 头 的 信息 ， 知 信件 之 Mail to: 主机 名 为 收 信 
端 主 

机 ， 且 该 名 称 符合 mydestination 的 设 定 ， 则 该 信件 会 开始 被 收 下 至 队 
列 ， 并 


进一步 送 到 mailbox 当中 ; 若 不 符合 mydestination 的 设 定 ， 则 终止 联机 
且 


不 会 进行 信件 内 容 (body) 的 传送 ; 

3. 大 Mail to: 主机 名 非 为 收 信 端 本 里 ， 则 开始 进行 转 递 (relay) 的 分 析 。 

4. 转化 过 程 首先 分 析 该 信件 的 来 源 是 作答 合 信任 的 客户 端 (这 个 客户 站 
y 消 


又 1 所 记录 的 发 信 主 机 喔 )， 亦 即 来 源 是 否 符合 mynetworks 的 设 定 值 ， 
寿 符 从 


则 开始 收 下 信件 至 队列 中 ， 并 等 待 MDA 将 信件 再 转 递 出 去 ， 若 不 符 


mynetworks 


则 继续 下 一 步 ; 
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售 件 井 入 








Mail to: hostname 


:机 名 称 是 否 志 自 





问 (== 
| mailbox 





个 





Relay 


页 mynetwoks 而 


逃 出 借 件 到 下 一 部 MTA 







目标 是 否 圾 


Telay domans 


否 








5. 分 析 信 件 来 源 或 目标 是 否 符合 relay_domains 的 设 定 ， 若 符合 则 信件 
将 被 


收 下 至 队列 ， 并 等 待 MDA 将 信件 再 转 递 出 去 ; 


人 


内 容 数 据 的 。 
整个 流程 有 点 像 底下 这 样 : 
图 22.2-1、 在 本 机 MTA 当中 的 信件 分 析 过 程 


也 就 是 说 标 尖 分 析 通 过 后 ， 你 的 信件 内 容 才 会 开始 上 传 到 主机 的 队列 ， 
然后 透 过 


MDA 来 处 理 该 信件 的 流向 。 而 不 是 将 信件 完整 的 传送 到 主机 后 才 开 始 
分 析 的 喔 ! 这 个 


得 要 特别 注意 响 ! 而 透 过 上 述 的 流程 后 ， 在 和 暂 不 考虑 access 以 及 MDA 
的 分 析 机 制 中 ， 


一 部 MTA 想 要 正确 的 收 、 发 信件 时 ， 电 子 邮件 必需 要 符合 : 
收 信 方 面 : 必需 符合 底下 需求 : 
1. 发 信 端 必需 符合 $inet_interfaces 的 设 定 ; 
2. 信件 标 头 之 收 件 者 主机 名 必需 符合 $mydestination 的 设 定 ， 或 者 
收 件 主机 名 需要 符合 $virtual_maps (与 虚拟 主机 有 关 ) 的 设 定 ; 
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转 递 方面 (Relay): 必需 符合 底下 需求 : 
1. 发 信 端 必需 符合 $inet_interfaces 的 设 定 ; 
2. 发 信 端 来 源 必需 为 Smynetworks 的 设 定 ; 发 信 端 来 源 或 信件 标 头 之 
收 件 者 主机 名 符合 $relay_domains 之 设 定 内 容 。 


同样 的 原理 与 想法 你 可 以 将 他 用 在 sendmail 的 设 定 当 中 喔 ! 和 人 人! 不 过 
很 多 垃圾 


信 却 是 厌 由 这 个 预 设 的 收发 管道 来 及 送 ， 怎么 说 呢 ? 请 看 底下 的 分 
析 : 








例题 : 


在 我 内 主机 上 面 苋 然 发 现 这 样 的 广 和 言 ， 那 就 是 『 利 用 我 的 主机 发 送 广 


信 给 我 自己 ! 」 为 什么 这 样 也 可 以 呢 ? 

答 : 

首先 ， 你 必需 要 熟悉 一 下 上 述 的 流程 ， 在 第 2 个 步骤 当中 我 们 知道 ， 当 
主机 收 到 一 封 信 且 这 封 信 的 目标 是 上 自己， 并 且 也 符合 mydestination 的 设 
定 








时 ， 该 信件 就 会 被 收 下 来 而 不 必 验 证 客户 端 是 否 来 自 于 mynetworks 
了 蔚 扩 以 


说 ， 任 何人 都 可 以 用 这 个 流程 来 寄 信 给 你 啊 。 不 过 ， 你 的 MTA 并 不 是 


open 
relay 啦 ， 不 会 帮 人 家 发 送 广告 信 的 ， 不 用 担心 。 

例题 : 

我 的 主机 明明 没有 Open relay ， 但 很 多 其 他 的 MTA 管理 员 发 信 给 我 ， 


说 我 的 主机 的 茶 个 账号 持续 发 送 广告 信 ， 但 是 我 的 主机 明明 没有 那个 账 
号 啊 ! 


仔细 看 一 下 流程 的 步骤 1 工 与 2 ， 确 认 该 封 信 能 否 被 收 下 来 与 发 信 端 及 收 

1 出 主机 名 有 关 。 而 我 们 知道 在 邮件 的 header 里 面 还 有 一 个 mail from 

1 目 ， 这 个 标 头 设 定 是 我 们 在 查阅 邮件 时 看 到 的 『 回 邮 地 
| 


ee 而 且 他 与 收发 信件 的 数据 无 关 ! 所 以 ， 您 应 该 要 告 
1 对 方 


I 管理 员 ， 请 他 提供 详细 的 log 数据 ， 才 能 够 判断 该 封 信和 是 否 由 你 
J 主机 


所 发 送出 去 的 。 


me 目前 的 广告 业者 很 多 部 是 利用 这 种 欺 敌 的 方式 来 处 理 的 ， 所 


需要 请 对 方 提 供 详细 的 log file 数据 以 供 查 验 才 行 喔 ! 
22.2.6 设 定 邮件 主机 权限 与 过 小 机 制 | /etc/postfix/access 


基本 上 ， 指 定 了 Postfix 的 mynetworks 的 信任 来 源 就 能 够 让 使 用 者 relay 
可 和 


:过 如 果 你 依照 鸟 哥 上 述 的 方式 (22.2.4) 来 设 定 你 的 mynetworks 的 话 ， 
那么 我 们 还 


可 以 利用 access 这 个 档案 来 额外 管理 我 们 的 信件 过 小 呢 ! 基本 的 access 
语法 为 : 
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规范 的 范围 或 规则 Postfix 的 动作 (范例 如 下 ) 
IP/ 部 分 IP/ 主 机 名 /Email 等 OK/REJECT 


假设 你 想 要 让 120.114.141.60 还 有 .edu.tw 可 以 使 用 这 部 MTA 来 转 递 信 
件 ， 且 不 许 


av.com 以 及 192.168.2.0/24 这 个 网 域 的 使 用 时 ， 可 以 这 样 做 : 
[root@www ~]# vim /etc/postfix/access 
120.114.141.60 


OK 


.edu.tw 

OK 

av.com 

REJECT 

192.168.2. 

REJECT 

# OK 表示 可 接受 ， 而 REJECT 则 表示 拒绝 。 

[root@www ~]# postmap hash:/etc/postfix/access 

[root@www ~]# 1s -] /etc/postfix/access* 

-TW-T--T--. 1 root root 19648 2011-08-09 14:05 /etc/postfix/access 
-TW-r--T--. 1 root root 12288 2011-08-09 14:08 /etc/postfix/access.db 
# 你 会 发 现 有 个 access.db 的 档案 才 会 同步 更 新 ! 

这 才 是 postfix 实际 读 取 

的 ! 


用 这 个 档案 设 定 最 大 的 好 处 是 ， 你 不 必 重 新 局 动 postfix， 只 要 将 数据 库 
建 并 好 ， 江 

刻 束 生效 了 ! 这 个 档案 还 有 其 它 的 进 阶 功能 ， 你 可 以 自行 进入 该 档案 碍 
阅 就 知道 了 。 但 

是 进 阶 设 定 还 需要 main.cf 内 的 其 他 参数 有 设 定 才 行 ! 如 果 只 有 之 前 
$mynetworks 的 


设 定 值 时 ， 你 只 能 利用 access.db 的 方式 来 开放 relay 的 能 力 而 已 。 不 
过 ， 至 少 他 可 


以 让 我 们 的 设 定 简化 哆 ! 人 人 
22.2.7 设 定 邮件 别名 :”/etc/aliases, ~/.forward 


想 一 想 ， 你 的 主机 里 面 不 是 有 很 多 系统 账号 吗 ? 例如 named， apache， 
mysdl...，, 


那么 以 这 些 账号 执行 的 程序 车 有 讯息 发 生 时 ， 他 会 将 该 讯息 以 email 的 
方式 传 给 谁 ? 
风 其 实 这 


应 该 就 是 传 给 named，apache… 等 账号 自己 吧 。 不 过 ， 你 会 发 现 其 
些 系统 账号 


的 信息 都 是 丢 给 root! 这 是 因为 其 他 的 系统 账号 并 没有 密码 可 登入 ， 目 
然 也 就 无 法 接 


收 任何 邮件 了 ， 所 以 各 有 邮件 就 给 系统 管理 员 吃 。 不 过 ， 咀 们 的 “MTA 
怎么 知道 这 些 信 


件 要 传 给 root ? 这 就 得 要 aliases 这 个 邮件 别名 配置 文件 来 处 理 啦 ! 








邮件 别名 配置 文件 : /etc/aliases 
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在 你 的 /etc/aliases 档案 内 ， 你 会 发 现 类 似 底 下 的 字样 : 
[root@www ~]# vim /etc/aliases 

mailer-daemon: postmaster 

postmaster: root 

bin: root 


daemon: root 


.…( 底 下 省 略 )… 
左边 是 『 别 名 上 右边 是 『 实 际 存在 的 使 用 者 账号 或 者 是 email 


address」 ! 就 是 透 过 


ee 所 以 让 我 们 可 以 将 所 有 系统 账号 所 属 的 信件 通通 丢 给 root 
啊 ! 好 ， 我 们 


现在 将 他 扩大 化 ， 假 如 你 的 MTA 内 有 一 个 实际 的 账号 名 称 为 dmtsai ， 
这 个 使 用 者 还 


想 要 使 用 dermintsai 这 个 名 称 来 收 他 的 信件 ， 那么 你 可 以 这 样 做 : 








[root@www ~]# vim /etc/aliases 

dermintsai: dmtsai 

# 左边 是 你 额外 所 设 定 的 ， 右 边 则 是 实际 接收 这 封 信 的 账号 ! 
[root@www ~#postalias hash:/etc/aliases 

[root@www ~]# 1 /etc/aliases* 

-TW-r--T--. 1 root root 1535 2011-08-09 14:10 /etc/aliases 


-TW-r--r--. 1 root root 12288 2011-08-09 14:10 /etc/aliases.db 


全 
讨 


从 此 之 后 不 论 是 dmtsai@www.centos.vbird 
dermintsai@www.centos.vbird 都 


会 将 信件 于 到 /var/spool/mail/dmtsai 这 个 信箱 当中 喔 ! 很 方便 吧 ! 


/etc/aliases 实际 应 用 一 : 让 一 般 账 号 可 接收 root 的 信 


假设 你 是 系统 管理 员 ， 而 你 常用 的 一 般 账号 为 dmtsai， 但 是 系统 出 错时 
的 重要 信 


件 都 是 寄 给 root 啊 ， 偏偏 root 的 信件 不 能 被 直 接 读 取 … 所 以 说 ， 如 果 
能 够 将 『 给 


root 的 信也 转 寄 一 份 给 dmtsai 上 的 话 ， 那 束 太 好 了 ! 可 以 达到 吗 ? 当 
然 可 以 ! 你 可 


以 这 样 做 : 

[root@www ~]# vim /etc/aliases 

root: 

root,dmtsai <== 鸟 哥 建议 这 种 写法 ! 

# 信件 会 传 给 root 与 dmtsai 这 两 个 账号 ! 
root: 

dmtsai <== 如 果 dmtsai 不 再 是 管理 员 怎 办 ? 

# 从 此 root 收 不 到 信 了 ， 都 由 dmtsai 来 接受 ! 
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[root@www ~#postalias hash:/etc/aliases 


上 面 那 两 行 你 可 以 择 一 使 用 ， 看 看 root 要 不 要 保留 他 的 信件 都 可 以 的 ! 
乌 哥 建议 使 用 


第 一 种 方式 ， 因 为 这 样 一 来 ， 你 的 dmtsai 可 以 收 到 root 的 信 ， 且 root 
自己 也 可 


以 『 备 份 」 一 份 在 他 的 信箱 内 ， 比 较 安 全 啦 ! 








/etc/aliases 实际 应 用 二 : 发 送 群 组 寄 信 功能 


想象 一 个 情况 ， 如 果 你 是 学 校 的 老师 ， 你 虽然 只 带 一 班 导 生 ， 但 是 『 每 
年 都 一 班 」 


时 ， 如 果 有 一 天 你 要 将 信 发 给 所 有 的 学 生 ， 那 在 写 email 的 标 头 时 ， 可 
能 天 会 头 肾 肾 


的 了 (因为 联络 人 名 单 太 多 了 )! 这 个 时 候 你 可 以 这 样 做 : (假设 主机 上 
学 生 的 账号 为 


std001, std002...) 





[root@www ~]# vim /etc/aliases 
student2011: 
std001,std002,std003,std004... 
[root@www ~|]# postalias hash:/etc/aliases 


如 此 一 来 只 要 寄 信 到 这 部 主机 的 student2011 这 个 不 存在 的 账号 时 ， 该 
封 信 就 会 被 分 


别 存 到 各 个 账号 里 头 去 ， 管理 上 面 是 否 很 方便 啊 ! 人 人! 事实 上 ， 邮 件 
别名 除了 填写 


目 己 主机 上 面 的 实体 用 户 之 外 ， 其 实 你 可 以 填写 外 部 主机 的 email 喔 ! 
例如 你 要 将 本 


机 的 dermintsai 那个 不 存在 的 用 户 的 信件 除了 传 给 dmtsai 之 外 ， 还 要 外 
传 到 


dmtsai@mail.niki.centos.vbird 时 ， 可 以 这 样 做 : 














[root@www ~]# vim /etc/aliases 


dermintasi: dmtsai,dmtsai(Omail.niki.centos.vbird 

[root@www ~]# postalias hash:/etc/aliases 

很 方便 吧 ! 更 多 的 功能 就 期 待 您 自行 发掘 哆 ! 

Tips: 

在 这 本 书 里 面 ，dmtai 的 家 目录 并 非 在 正规 的 home 底下 ， 而 是 放 
置 于 /winhome 当中 (参考 第 十 六 章 的 练习 )， 所 以 实际 操作 mail 
指令 会 出 错 ! 这 是 因为 SELinux 的 关系 ! 请 参考 


/Var/log/messages 底下 的 建议 动作 去 处 理 即 可 ! 
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人 
个 人 化 的 邮件 转 递 : ~/.forward 


虽然 /etc/aliases 可 以 帮 有 我 们 达到 邮件 别名 设 定 的 好 处 ， 不 过 /etc/aliases 
日 
是 


只 有 root 才能 修改 的 档案 权限 ， 那 我 们 一 般 使 用 者 如 果 也 想 要 进行 邮 


件 转 递 时 ， 该 





如 何 是 好 ? 没关系 ， 可 以 透 过 上 自己 家 目录 下 的 .forward 这 个 档案 喔 ! 站 


例 来 说 ， 我 


的 dmtsai 这 个 账号 所 接收 到 的 信件 除了 目 己 要 保留 一 份 之 外 ， 还 要 传 给 


本 机 上 的 
vbird 以 及 dmtsai@mail.niki.centos.vbird 时 ， 那 你 可 以 这 样 做 设 定 : 


[dmtsai@Owww ~]$ vim .forward 


# 注意 ! 我 现在 的 身份 现在 是 dmtsai 这 个 一 般 身份 ， 而 且 在 他 的 家 目录 
下 ! 


dmtsai 

vbird 

dmtsai@mail.niki.centos.vbird 
[dmtsai@www ~]$ chmod 644 .forward 


记得 这 个 档案 妆容 大 - 行 一 个 账号 (或 email) ， 而且 权限 方面 非常 重 
女 : 


该 档案 所 在 用 户 家 目录 权限 ， 其 group、other 不 可 以 有 写 入 权限 。 
.forward 档案 权限 ， 其 group、other 不 可 以 有 写 入 权限 。 

如 此 一 来 这 封 信 就 会 开始 转 递 哆 ! 有 趣 吧 ! 和信 

22.2.8 察看 信件 队列 信息 : postdueue, mailg 


说 实话 ， 设 定 到 此 为 止 咱 们 的 ”postfix ”应 该 可 以 应 付 一 般 小 型 企业 之 


mail 


server 的 用 途 了 ! 不 过 ， 有 的 时 候 毕 竟 因 为 网 络 的 问题 或 者 是 对 方 主机 
的 问题 ， 可 能 


导致 茶 坚 信件 无 法 送出 而 被 暂 存 在 队列 中 ， 那 我 们 如 何 了 解 队列 当中 
有 哪些 邮件 呢 ? 


还 有 ， 在 队列 当中 等 待 送出 的 信件 是 如 何 送出 的 呢 ? 
如 采 该 封 信 在 五 分 钟 之 内 无 法 寄 出 ， 则 遂 第 系统 会 发 出 一 封 『 和 警告 


信 ] 给 原 


发 信者 ， ”告知 该 封地 件 尚 无 法 被 寄 送 出 去 ， 不 过 ， 系 统 仍 会 持续 的 尝 


试 寄 出 该 























封 邮件 ; 
如 果 在 四 小 时 候 仍 无 法 寄 出 ， 系 统 会 再 次 的 发 出 警告 信 给 原 发 信者 ; 


如 果 持 续 进 行 五 天 都 无 法 将 信件 送出 ， 那 么 该 封 邮 件 就 会 退回 给 原 发 
信者 了 : 
当然 啦 ， 某 些 MTA 已 经 取消 了 警告 信 的 寄 发 ， 不 过 原则 上 ， 如 果 信 件 
无 法 实时 寄 
出 去 的 话 MTA 还 是 会 努力 尝试 5 天 的 ， 如 果 接 下 来 的 5 天 都 无 法 送出 
时 ， 才 会 将 原 
信件 退回 给 发 信者 。 一 般 来 说 ， 如 果 MTA 设 定 正确 且 网 络 没 有 问题 
时 ， 应 该 是 不 可 能 


会 有 信件 被 放 在 队列 当中 而 传 不 出 去 的 ， ”所 以 如 果 发 现 有 信件 在 队列 
时 ， 当 然 得 要 仔 
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细 的 瞧 一 瞧 吵 ! 检查 队列 内 容 的 方法 可 以 使 用 mailq ， 也 可 以 使 用 
postqueue -p 来 


检查 的 : 
[root@www ~]# postqueue -p 
Mail queue is empty 


若 您 的 邮件 如 此 显示 时 ， 茶 喜 您 ， 没 有 什么 问题 邮件 在 队列 当中 。 不 过 
如 有 果 你 将 postfix 


关闭 ， 并 答 试 发 一 封 信 给 任何 人 ， 那 就 可 能 会 出 现 如 下 的 男 面 啦 : 














[root@www ~ 1]# /etc/init.d/postfix stop 


[root@www ~]# echo "test" | mail -s "testing queue" root 


[root@www ~#postqueue -p 

postqueue: warning: Mail system is down -- accessing queue directly 
-Queue ID- --Size-- ---- Arrival Time---- -Sender/Recipient------- 
SCFBB21DB 284 Tue Aug 9 06:21:58 root 

root 

-- 0 Kbytes in 1 Request. 

# 第 一 行 就 说 明了 无 法 寄 出 的 原因 为 Mail system is down 只 1 

# 然后 才 出 现 无 法 寄 出 的 信件 信息 ! 包括 来 源 与 目标 喔 ! 

输出 的 信息 主要 为 : 


攻 Queue ID: 表示 此 封 邮件 队列 的 代表 号 (ID)， 这 个 号 码 是 给 MTA 看 
J， 我 


们 看 不 惜 不要紧 ; 
Size : 这 封 信 有 多 大 容量 (bytes) 的 意思 ; 


Arrival Time: 这 封 信 什 么 时 候 进 入 队列 的 ， 并 且 可 能 会 说 明 无 法 立 
即 传送 


出 去 的 原因 ; 

Sender/Recipient: 送信 与 收 信者 的 电子 邮件 哆 ! 
事实 上 这 封 信 是 放置 在 /var/spool/postfix 里 面 ， 由 于 信件 内 容 已 经 编码 
ee 


yo 











MTA 看 的 资料 排列 ， 所 以 你 可 以 使 用 postcat 来 读 出 原 信件 的 内 容 喔 ! 
例如 这 样 做 


(注意 看 档 名 与 Queue ID 的 对 应 ! ): 


[root@www ~]# cd /var/spool/postfix/maildrop 

[root@www maildrop]# postcat 5CFBB21DB <== 这 个 档 名 就 是 Queue ID 
*** ENVELOPE RECORDS 5CFBB21DB *** <== 说 明 队 列 的 编号 啊 
message_arrival_ time: Tue Aug 9 14:21:58 2011 

named_attribute: rewrite_context=local <== 分 析 named (DNS) 的 特性 来 
目 本 机 

sender_fullname: root <== 发 信者 的 大 名 与 email 

Sender: root 

recipient: root <== 就 是 收 件 者 吕 ! 

net.giang(@@hotmail.com 


0 


*** MESSAGE CONTENTS 5CFBB21DB *** <== 底 下 则 是 信件 的 实际 
内 容 啊 ! 


Date: Tue, 09 Aug 2011 14:21:58 +0800 
To: root 

Subject: testing queue 

User-Agent: Heirloom mailx 12.4 7/29/08 
MIME-Version: 1.0 

Content-Type: text/plain; charset=us-ascii 
Content-Transfer-Encoding: 7bit 


test 


*** HEADER EXTRACTED SCFBB21DB *** 
*** MESSAGE FILE END 5CFBB21DB *** 


如 此 一 来 你 就 知道 目前 我 们 的 MTA 主机 有 多 少 未 送出 的 信件 ， 还 有 未 
送出 信件 的 内 容 


你 也 可 以 退 踪 的 到 了 ! 很 不 错 ， 对 吧 ! 不 过 ， 如 果 你 想 要 我 们 的 


postfix 并 刻 尝 试 将 


这 些 在 队列 当中 的 信件 寄 出 去 ， 那 又 该 如 何 是 好 ? ”你 有 几 个 作法 哗 ， 
可 以 重新 启动 


postfix ， 也 可 以 透 过 postfix 的 动作 来 处 理 ， 例 如 : 





[root@www ~ 1]# /etc/init.d/postfix restart 
[root@www ~]# postfix flush 


乌 哥 个 人 比较 建议 使 用 postfix flush 哆 ! 自行 参考 看 看 先 ! 人 和 人 人! 接 下 
来 ， 让 我 们 


先 来 处 理 一 下 收 信 的 MRA 服务 器 ， 搞定 后 再 来 处 理 客 户 端的 用 户 接口 
吧 ! 





22.2.9 防火 墙 设置 


因为 整个 MTA 主要 是 透 过 SMTP (port 25) 进行 信件 传送 的 任务 ， 
此 > | 对 


postfix 来 说 ， 只 要 放行 port 25 即 可 叶 ! 修改 一 下 iptables.rule 吧 ! 
[root@www ~]# vim /usr/local/virus/iptables/iptables.rule 

# 找 到 底下 这 一 行 ， 并 且 将 它 批注 拿 掉 ! 

iptables -A INPUT -p TCP -i $SEXTIF --dport 25 --sport 1024:65534 -j 


ACCEPT 


[root@www ~|]# /usr/local/virus/iptables/iptables.rule 
这 样 就 放行 整个 Internet 对 您 服务 器 的 port 25 的 读 取 哆 ! 简单 ! 搞定 ! 


net.giang(@@hotmail.com 
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22.3 MRA 服务 器 : dovecot 设 定 


除非 你 想 要 架设 webmail 在 你 的 MTA 上头， 否则 ， 你 的 MTA 收 下 了 
信件 ， 你 总 


得 连 上 MTA 去 收 信 吧 ? 那么 收 信 要 用 的 是 哪个 通讯 协议 ? 就 是 22.1.4 
里 面谈 到 的 


站 以 及 imap 嘿 ! 这 就 是 所 谓 的 MRA 服务 器 ! 我 们 的 CentOS 6.x 使 
用 的 是 


dovecot 这 个 软件 来 达成 MRA 的 相关 通讯 协议 的 ! 但 由 于 pop3/imap 还 
有 数据 加 密 的 


版 本 ， 底 下 我 们 束 依 据 是 否 加 密 (SSL) 来 设 定 dovecot 吧 ! 
22.3.1 基础 的 POP3/IMAP 设 定 


局 动 单纯 的 pop3/imap 是 很 简单 的 啦 ， 你 得 要 先 确定 已 经 安装 了 dovecot 
这 个 软 


件 。 而 这 个 软件 的 配置 文件 只 有 一 个 ， 束 是 /etc/dovecot/dovecot.conf 。 
我 们 仅 要 


启动 pop3/imap 而 已 ， 所 以 可 以 这 样 设 定 即 可 : 
[root@www ~]# yum install dovecot 


[root@www ~]# vim /etc/dovecot/dovecot.conf 


一 行 ， 大 约 是 在 第 25 行 左 右 的 地 方 ， 复 制 新 增 一 行内 容 
Es 


#protocols = imap pop3 Imtp 

protocols = imap pop3 

[root@www ~]# vim /etc/dovecot/conf.d/10-ssl.conf 
ssl = no <== 将 第 6 行 改 成 这 样 ! 


改 完 之 后 你 就 可 以 启动 ”dovecot ” 嘿 ! 并 且 检 查看 看 port 110/143 
(pop3/imap) 有 没 


有 局 动 啊 ? 

[root@www ~]# /etc/init.d/dovecot start 

[root@www ~]# chkconfig dovecot on 

[root@www ~ 1# netstat -tinp | grep dovecot 

Proto Recv-Q Send-Q Local Address Foreign Address State 
PID/Program name 

tcp 00:::110 :::* LISTEN 

14343/dovecot 

tcp 00:::143 :::* LISTEN 

14343/dovecot 


耶 ! 搞定 ! 这 样 就 可 以 提供 使 用 者 来 收 信件 啦 ! 真是 不 错 啊 ! 不 过 记得 
喔 ， 这 里 只 提供 


基本 的 明码 pop3/imap 传输 而 已 ， 如 宁 想 要 局 动 其 他 如 pop3s (传输 加 
密 机 制 ) 协议 


时 ， 束 得 要 额外 的 设 定 哆 ! 
net.qiang(Dhotmail.com 
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22.3.2 加 密 的 POP3sIMAPs 设 定 


如 果 担 心 数 据 在 传输 过 程 会 被 鳃 取 ， 或 者 是 你 的 登入 信息 (账号 与 密码 ) 
在 使 用 


pop3/imap 时 会 被 罚 听 ， 那么 这 个 pop3s/imaps 就 显 的 重要 啦 ! 与 之 前 
的 Apache 相 


似 的 ， 甚 实 我 们 都 是 透 过 openssl 这 个 软件 提供 的 SSL 加 密 机 制 来 进行 
数据 的 加 密 传 


输 。 方 式 很 简单 呢 ! 预 设 的 情况 下 ，CentOS 已 经 提供 了 SSL 和 凭证 范例 
文件 给 我 们 使 用 


了 。 如果 你 一 点 都 不 想 要 使 用 预 设 的 赁 证， 那么 我 们 就 来 目 己 建 一 个 
吧 ! 


#1. 建立 凭证 : 到 系统 提供 的 /etc/pki/tls/certs/ 目录 下 建立 所 需要 的 pem 
凭证 档 ; 








[root@www ~]# cd /etc/pki/tls/certs/ 
[root@www certs|# make vbirddovecot.pem 
.…( 前 面 省 略 ).…. 

Country Name (2 letter code) [入 X|: 工 人 

State or Province Name (full name) []:Taiwan 


Locality Name (eg, city) [Default City]:Tainan 


Organization Name (eg, company) [Default Company Ltd]:KSU 
Organizational Unit Name (eg, section) []:DIC 

Common Name (eg, your name or your server's hostname) 
[|:www.centos.vbird 


Email Address []:dmtsai(@Wwww.centos.vbird 


# 2. 因为 担心 SELinux 的 问题 ， 所 以 建议 将 pem 档案 放置 到 系统 默认 的 
日 


录 去 较 佳 ! 

[root@www certs]# mv vbirddovecot.pem ../../dovecot/ 
[root@www certs|]# restorecon -Rv ../../dovecot 

#3. 开始 处 理 dovecot.conf， 只 要 pop3s, imaps 不 要 明码 传输 的 咯 ! 
[root@www certs]# vim /etc/dovecot/conf.d/10-auth.conf 
disable_plaintext_auth = yes <== 第 9 行 改 成 这 样 ! 取消 批注 ! 
[root@wWwww certs]# vim /etc/dovecot/conf.d/10-ssl.conf 

ssl = required <== 第 6 行 改 成 这 样 

ssl_cert = </etc/pki/dovecot/vbirddovecot.pem <==12, 13 行 变 这 样 
ssl_key = </etc/pki/dovecot/vbirddovecot.pem 

[root@www certs]# vim /etc/dovecot/conf.d/10-master.conf 
inet_listener imap { 

port = 0 <== 15 行 改 成 这 样 


} 


inet_listener pop3 { 
net.giang(@@hotmail.com 

0 

port = 0 <== 36 行 改 成 这 样 
} 


#4. 处 理 额 外 的 mail_location 设 定 值 ! 很 重要 ! 人 否则 网 络 收 信 会 失败 : 





[root@www certs]# vim /etc/dovecot/conf.d/10-mail.conf 
mail_location = mbox:~/mail:INBOX=/var/mail/%u <== 第 30 行 改 这 样 
#5. 重新 启动 dovecot 并 且 观 察 port 的 变化 : 
[root@www certs]# /etc/init.d/dovecot restart 

[root@www certs]# netstat -tlnp | grep dovecot 

Proto Recv-Q Send-Q Local Address Foreign Address State 
PID/Program name 

tcp 0 0 :::993 :::* LISTEN 

14527/dovecot 

tcp 0 0 :::995 :::* LISTEN 

14527/dovecot 


最 终 你 看 到 的 993 是 imaps 而 995 则 是 pop3s 虽 ! 这 样 一 来 ， 你 收 信 的 
时 候 ， 输 入 


的 账号 密码 就 不 怕 被 窃听 了 ! 反正 是 加 密 后 的 资料 哩 ! 很 简单 吧 ! 
22.3.3 防火 墙 设置 


因为 上 面 的 练习 中 ， 我 们 将 ”pop3/imap 关闭 ， 转 而 打开 pop3s/imaps 
了 ， 因 此 防 


火 墙 局 动 的 井口 会 不 一 样 ! ”请 依据 您 实际 的 案例 来 设 定 你 所 需要 的 防 
火 墙 才 好 。 我 们 


这 里 主要 是 开放 993，995 两 个 埋 口 哟 ! 处 理 的 方法 与 22.2.9 相当 类 
似 : 








[root@www ~]# vim /usr/local/virus/iptables/iptables.rule 

# 大 约 在 180 行 左右 ， 新 增 底下 两 行 去 ! 

iptables -A INPUT -p TCP -i$EXTIF --dport 993 --sport 1024:65534 -j 
ACCEPT 

iptables -A INPUT -p TCP -i $EXTIF --dport 995 --sport 1024:65534 -j 
ACCEPT 

[root@www ~]# /usr/local/virus/iptables/iptables.rule 


如 果 你 的 pop3/imap 还 是 决定 不 加 密 的 话 ， 请 将 上 面 的 993/995 改 成 
143/110 即 可 ! 
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22.4 MUA 软件 : 客户 端的 收发 信和 软件 
设 定 Mail server 不 是 合 来 好 看 的 ， 当 然 是 要 好 好 的 应 用 他 哆 ! 应 用 mail 


SerVver 


有 两 种 主要 的 方式 ， 你 可 以 直接 登入 Linux 主机 来 操作 MTA ， 当 然 也 
可 以 透 过 客户 端 








的 MUA 软件 来 收发 信件 ， 底 下 我 们 分 别 介绍 这 两 种 方式 哆 ! 
22.4.1 Linux mail 


在 like 的 操作 系统 当中 都 会 在 有 一 文 可 以 进行 收发 信件 的 软件 ， 
那 就 是 


『 mail 」 这 个 指令 。 这 个 指令 是 由 mailx 这 个 软件 所 提供 的 ， 所 以 您 得 
要 先 安装 这 


个 软件 才 行 。 另 外 ， 由 于 mail 是 Linux 系统 的 功能 ， 所 以 即使 你 的 port 
25 (smtp) 


没有 局 动 ， 他 还 是 可 以 使 用 的 ， 只 是 该 封 邮件 就 只 会 被 放 到 队列 ， 而 无 
法 寄 出 去 喝 ! ^ AI! 


底下 我 们 来 谈 一 谈 最 简单 的 mail 用 法 吧 





用 mail 直接 编辑 文字 邮件 与 寄 信 
mail 的 用 法 很 简单 ， 就 是 利用 『 mail [email address] 」 的 方式 来 将 信件 


奇 ' 





去 ， 那个 [email address] 可 以 是 对 外 的 邮件 地 址 ， 也 可 以 是 本 机 的 账 
号 。 如 果 是 本 


机 账号 的 话 ， 可 以 直接 加 账号 名 称 即 可 。 例如 : 『 mail root 上 或 Tf 


mail 


somebody@his.host.name 」 。 如 果 是 对 外 寄 信 的 时 候 ， 信件 预 设 的 『 
Mail from | 


就 会 填写 main.cf 内 那个 myorigin 变数 的 主机 名 鄂 ! 先 来 试看 看 吧 ! 寄 


给 


dmtsai@www.centos.vbird 先 : 


[rootOwww~]#mail dmtsai@www.centos.vbird 
Subject: Just test <== 这 里 填写 信件 标题 

This is a test email. <== 底 下 为 信件 的 内 容 ! 

bye bye ! 

. <== 注 意 ， 这 一 行 只 有 小 数 点 ! 代表 结束 输入 之 


! 


涡 


i 另外 ， 早 期 的 mail server 是 可 以 接受 IP 
寄 信 的 ， 举 


例 来 说 : mail dmtsai@[192.168.100.254] ， 记 得 IP 要 用 中 括号 包 起 来 。 
不 过 由 于 


> 垃圾 邮件 的 影响 ， 现在 这 种 方式 几乎 都 无 法 成 功 的 将 信件 寄 出 





利用 已 经 处 理 完毕 的 『 纯 文本 档 」 寄 出 信件 
net.giang(@hotmail.com 


这 可 不 是 『 附 件 夹带 」 的 方式 ! 因为 在 mail 这 个 程序 里 面 编辑 信件 是 
个 很 痛 知 的 

工事 ， ”你 不 能 够 按 上 下 左右 键 来 回 到 刚刚 编辑 有 错误 的 地 方 ， 很 伤 脑 
筋 。 此 时 我 们 可 


人 标准 输入 来 处 理 ! 如 果 你 瑟 记 『 < 上 」 代表 的 意义 ， 请 回 到 基础 
章 bash 





.bashrc 寄 给 


别人 ， 可 以 


这 样 做 : 


[root@www ~]# mail -s 'My bashrc' dmtsai < ~/.bashrc 


开始 查阅 接收 的 信件 


寄 信 还 比较 简单 ， 那 么 收 信 呢 ?同样 的 收 信 还 是 使 用 mail。 直 接 在 提示 
字符 之 后 


输入 mail 时 ， 会 主动 的 捉 取 使 用 者 在 /var/spool/mail 底下 的 邮件 信箱 


(mailbox), 


例如 我 dmtsai 这 个 账号 在 输入 mail 后 ， 就 会 将 /var/spool/mail/dmtsai 这 
个 档案 


的 内 容 读 出 来 并 显示 到 屏幕 上 上， 结果 如 下 : 
意 喔 ! 底下 的 身份 使 用 的 是 dmtsai 这 个 用 户 来 操作 mail 这 个 指令 的 


[dmtsai@Qwww ~]$ mail 


Heirloom Mail version 12.4 7/29/08. Type ? for help. 





"Jvar/spool/mail/dmtsai": 10 messages 10 new <== 信 箱 来 源 与 新 信件 数 





>N 1 dmtsaiOwww.centos.vb Mon Aug 8 18:53 18/579 "from vbird" 
…( 中 间 省 略 ).… 
N 9 root Tue Aug 9 15:04 19/618 "Just test" 
N 10 root Tue Aug 9 15:04 29/745 "My bashrc" 
== 这 个 是 mail 软件 的 提示 字符 ， 可 以 输入 ?来 察看 可 用 指令 
在 上 面 的 画面 中 ， 显 示 dmtsai 有 一 封 信 ， 且 会 附 上 该 信件 的 发 信者 与 标 











题 及 收 信 时 间 
等 。 你 可 以 用 的 指令 有 这 些 : 
读 信 : (直接 按 Enter 或 输入 数字 后 enter) 


人 [ > 那个 符号 吧 ! 那 表 示 目 前 mail 所 在 的 邮件 位 置 ， 你 可 以 
交办 


es 即 可 看 到 该 封 信件 的 内 容 ! 另外 ， 你 也 可 以 在 『&」 之 后 的 光 
未 位 


0 就 可 以 看 该 封 信件 的 内 容 了 ! ( 注 : 如 果 持 续 按 Enter， 则 会 
| >] 


符号 所 在 的 邮件 逐次 向 后 读 取 每 封 信件 内 容 ! ) 
显示 标题 (直接 数 入 h 或 输入 h 数字 ) 

例如 有 100 封 信 ， 要 看 90 封 左右 的 信件 标题 ， 就 输入 『 h90 」 即 可 。 
回复 邮件 (直接 输入 RR) 


如 果 要 回复 目前 『 > 」 符 号 所 在 的 邮件 ， 直 接 按 下 『 R 」 即 可 进入 刚 
刚 前 面 介 


绍 过 的 mail 文字 编辑 画面 哆 ! 你 可 以 编辑 信件 后 传 回去 咖 ! 
net.qiang(Ohotmail.com 
删除 邮件 : (输入 d 数字 ) 


[dd 夫 」 即 可 删除 邮件 ! 例如 我 要 删除 掉 第 2 封 邮件 ， 可 以 输入 『 
d2 


人 10-50 封 邮件 ， 可 以 输入 『 d10-50 】 上 来 删除 喔 ! 请 记 
得 ， 如 


果 有 删除 邮件 的 话 ， 离 开 mail box 时 ， 要 使 用 『 q 4 才 行 ! 


储存 邮件 到 档案 : (输入 s 数字 文件 名 ) 


如 果 要 将 邮件 资料 存 下 来 ， 可 以 输入 『 s 椅 flename 」， 例 如 我 要 将 上 
面 第 10 


封 邮 件 存 下 来 ， 可 以 输入 『 s 10 text.txt 」 即 可 将 第 一 封 邮件 内 容 存 成 
text.txt 这 个 档案 ! 

离开 mail: (输入 q 或 x) 
要 离开 mail 可 以 输入 q 或 者 是 x， 请 注意 『 输 入 x 可 以 在 不 更 动 mail 


box 


的 情况 下 离开 mail 程序 ， 不 管 你 刚刚 有 没有 使 用 d 删除 数据 ;使 用 q 


才 会 将 


删除 的 数据 移 除 。」 也 就 是 说 ， 如 果 你 不 想 更 动 mail box 那 就 使 用 x 或 


exit 
离开 ， 如 果 想 要 使 刚刚 移 除 的 动作 生效 ， 就 要 使 用 gq 啦 ! 
关于 mail 更 详细 的 用 法 可 以 输入 help 就 可 以 显现 目前 的 mail 所 有 功 


会 忆 
Be ! 


上 面 是 简易 的 mail 收 信和 功能 ! 不 过 ， 我 们 曾经 将 信件 转 存 下 来 的 话 ， 
那 该 如 何 读 


取 该 信件 呢 ? 例如 读 取 刚刚 记录 的 texttxt 邮件 信箱 。 其 实 可 以 简单 的 
使 用 这 个 方式 


来 读 取 ; 


[dmtsai@ODwww ~]$ mail -f ~/text.txt 





以 『 附 件 夹带 上 的 方式 寄 信 
前 面 提 到 的 都 是 信件 的 内 容 ， 那 么 有 没有 可 能 以 『 附 件 」 的 方式 来 传递 


档案 ? 是 可 


以 的 ， 不 过 你 需要 uuencode 这 个 指令 的 帮忙 ， 在 CentOS 当中 这 个 指令 


属于 
sharutils ， 请 先 利 用 yum 来 安装 他 吧 ! 接 下 来 你 可 以 这 样 使 用 : 
[root@www ~]# [利用 uuencode 编码 ] | [利用 mail 寄 出 去 ] 





[root@www ~]# uuencode [实际 档案 ] [信件 中 的 档 名 ] | mail -s ' 标 题 ' email 
#1. 将 /etc/hosts 以 附件 夹 市 的 方式 寄 给 dmtsai 
[root@www ~]# uuencode /etc/hosts myhosts | mail -s ‘test encode' dmtsai 


这 样 就 能 寄 出 去 了 ， 不 过 ， 如 果 收 下 这 封 信件 呢 ? 同样 的 我 们 得 要 透 过 
译 码 需 来 解码 啊 ! 


你 得 先 将 该 档案 存 下 来 ， 然 后 这 样 做 : 
# 底下 的 身份 可 是 dmtsai 这 个 用 户 喔 ! 
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0 

[dmtsai@www ~]$ mail 

Heirloom Mail version 12.4 7/29/08. Type ? for help. 
"/var/spool/mail/dmtsai": 11 messages 1 new 8 unread 

1 dmtsai(@www.centos.vb Mon Aug 8 18:53 19/590 "from vbird" 


.…( 中 间 省 略 ).…. 


U 10 root Tue Aug 9 15:04 30/755 "My bashrc'" 

>N 11 root Tue Aug 9 15:12 29/1121 "test encode" 

& s 11 test_encode 

"test_encode" [New file] 31/1141 

& exit 

[dmtsai@Owww ~]$ uudecode test_encode -0 decode 

加 密 档 输出 档 

[dmtsai@www ~]$ ll *code* 

-TW-I--T--. 1 dmtsai dmtsai 380 Aug 9 15:15 decode <== 详 码 后 
的 正确 数据 

-TW-rW-r--. 1 dmtsai dmtsai 1121 Aug 9 15:13 test_encode <== 内 文 会 
有 乱码 


虽然 mail 这 个 指令 不 是 挺 好 用 的 ， 不 过 至 少 他 可 以 提供 我 们 在 Linux 纯 
文本 模式 下 


的 一 个 简单 的 收发 信件 功能 ! 不过， 目前 有 个 更 棒 的 符 代 方案 ， 那 束 


是 mutt 这 玩意 
儿 吕 ! 
22.4.2 Linux mutt 


mutt 除了 可 以 仿真 mail 这 个 指令 之 外 ， 他 还 能 够 透 过 pop3/imap 之 类 的 
协议 去 


读 取 外 部 的 信件 喔 ! 所 以 这 家 伙 真 的 很 不 赖 ! 让 我 们 来 玩 玩 mutt 这 个 
好 物 吧 ! 在 开 











始 底下 的 动作 前 ， 请 使 用 yum install mnutt 安装 好 它 吧 ! 





直接 以 mutt 进行 寄 送 信件 的 动作 : 会 快速 附件 夹带 文件 


mutt 的 功能 也 很 多 ， 我 们 先 来 看 看 mutt 的 基本 语法 好 了 ， 再 来 开始 进 
行 练习 吧 ! 


[root@www ~]# mutt [-a 附加 档 ] [-i 内 文档 ] [-b 秘密 副本 ] [-c 一 般 副 本 ]\ 
> [-s 信件 标题 ] email 地 址 

选项 与 参数 

主队 加 术 ， 后面 就 是 你 想 要 传送 给 朋友 的 档案 ， 是 内 加 档案 ， 不 是 信件 
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喔 ! 

-内 文档 : 就 是 信件 的 内 文部 分 ， 移 编写 成 为 档案 而 已 ; 

秘密 副本 : 原 收 件 者 不 知道 这 封 信 还 会 寄 给 后 面 的 那个 秘密 副本 收 件 





-Cc 一 般 副 本 : 原 收 件 者 会 看 到 这 封 信 还 有 传 给 哪 位 收 件 者 ; 
-s 信件 标题 : 这 还 需要 解释 吗 ? 这 封 信 的 标 头 ! 
email 地 址 : 就 是 原 收 件 者 的 email 吵 ! 


#1. 直接 在 线 编写 信件 ， 然 后 寄 给 dmtsai@Dwww.centos.vbird 这 个 用 户 





[root@www ~]# mutt -s 一 封 测试 信 ' dmtsai@www.centos.vbird 


/root/Mail 不 存在 。 建 立 吗 ? ([yes]/no):y <== 第 一 次 用 才 会 出 现 这 个 讯 


自 


To: dmtsai@www.centos.vbird 

Subject: 一 封 测试 信 

随便 写 写 ! 随便 看 看 一 ! <== 会 进入 vi 画面 编辑 ! 很 棒 ! 

Vy: 寄 出 qd: 中 断 tTo c:CC s:Subj a: 附 加 档案 d: 叙 述 ?求助 <== 
按 下 y 寄 出 

From: root <root@www.centos.vbird> 

To: dmtsai@www.centos.vbird 

Ce: 

Bcc: 

Subject: 一 封 测试 信 

Reply-To: 

Fcc: ~/sent 

Security: 清除 

-- 附件 

-11 /tmp/mutt-www-2784-0 [text/plain, 8bit, utf-8, 0.1K] 

#2. 将 /etc/hosts 当成 信件 内 容 寄 给 dmtsai@www.centos.vbird 这 个 用 
户 

[root@www ~]# mutt -s 'hosts' -i /etc/hosts dmtsai(@www.centos.vbird 


# 记得 最 终 在 vim 底下 要 按 下 :wq 来 储存 寄 出 喔 ! 


与 mail 在 线 编写 文字 不 一 样 ，mutt 竟然 会 呼叫 vi 让 你 去 编辑 你 的 信 
件 ! 如 此 一 来 ， 


当然 不 需要 预先 编写 信件 内 文 了 ! ”这 真是 让 人 感到 非常 的 开心 啊 ! 而 
且 整 个 画面 非常 


的 直觉 化 ! 相当 容易 处 理 呢 ! 那么 如 宋 需 要 附件 夹 融 呢 ? 尤其 是 夹带 


binary program 
时 ， 可 以 这 样 做 : 


# 1. 将 /usr/bin/passwd 当成 附件 夹带 ， 寄 给 dmtsai@www.centos.vbird 用 
六 











[root@www ~]# mutt -s "附件 ' -a /usr/bin/passwd -- 
dmtsai@www.centos.vbird 

To: dmtsai@www.centos.vbird 
net.qiang(Ohotmail.com 

Subject: 附件 

不 过 是 个 附件 测试 ! 

Vy: 寄 出 qd: 中 断 tTo c:CC s:Subj a: 附 加 档案 d: 叙 述 ?求助 <== 
按 y 送出 

From: root <root@www.centos.vbird> 

To: dmtsai@www.centos.vbird 

Ce: 

Bcc: 


Subject: 附件 


Reply-To: 

Fcc: ~/sent 

Security: 清除 

-- 附件 

-11 /tmp/mutt-www-2839-0 [text/plain, 8bit, utf-8, 0.1K] <== 
内 文档 

A 2 /usr/bin/passwd [applica/octet-stre, base64, 31K] 
<== 附 加 档 


看 到 上 表 中 的 附件 底下 那 两 行 吗 ? I 代表 的 是 直接 附 在 信件 内 的 内 文 ， 
A 才 是 附加 档案 ! 


这 样 看 懂 了 吗 ? 不 过 你 想 要 使 用 mutt 来 附加 档案 时 ， 必 须要 有 底下 的 


[ -a filename 」 这 个 选项 必须 是 在 指令 的 最 后 面 ， 如 宁 上 述 的 指令 改 











2 


与 
成 : 『 mutt -a /usr/bin/passwd -s "附件 " ... 」 就 不 行 ! 会 失败 的 ! 
在 文件 名 与 email 地 址 之 间 需 要 加 上 两 个 连续 减 号 『 -- 」 才 行 ! 如 同 


面 测 试 的 指令 模样 ! 


以 mutt 来 读 不 同 通 讯 协议 的 信箱 


与 mail 比较 之 下 ，mutt 可 以 直接 透 过 网 络 的 pop3, imap 等 通讯 协议 来 
二 全 





古 相 当 优秀 的 一 个 功能 哟 ! 至少 乌 哥 觉 得 真 好 用 ! 底下 同样 的 ， 爷 来 
瞧 瞧 可 以 使 用 的 


语法 ， 然 后 再 来 看 看 一 些 练习 。 

[root@www ~]# mutt [-f 信箱 位 置 ] 

选项 与 参数 : 

-信箱 位 置 如 有 果 是 imaps 的 信箱 ， 可 以 这 样 : 『 -fimaps:// 服 务 器 的 
IP ] 

#1. 直接 用 dmtsai 的 里 份 读 取 本 机 的 信箱 内 容 
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[dmtsai@www ~]$ mutt 

d: 离 开 d: 删 除 ut: 反 删 除 s: 储 存 m: 信 件 r: 回 复 g: 群 组 ?: 求 助 

…( 中 间 省 略 )..… 

11 O + Aug 09 root ( 12) test encode 

12 O + Aug 09 root ( 1) 一 封 测试 信 

13 O + Aug 09 root ( 8) hosts 

14 O+ Aug 09 root ( 604) 附件 

---Mutt: /var/spool/mail/dmtsai [Msgs:14 Old:11 

74K]---(date/date)------- (all)-- 

在 上 面 的 信件 14 号 内 容 反 和 白 后 ， 直 接 按 下 Enter 会 出 现 如 下 夯 








二 离开 -: 上 一 页 <Space>: 下 一 页 Vv: 显 示 附 件 。 d: 删 除 r: 回 复 j: 下 


区 

Date: Tue, 9 Aug 2011 15:24:34 +0800 

From: root <root@www.centos.vbird> 

To: dmtsai@www.centos.vbird 

Subject: 附件 

User-Agent: Mutt/1.5.20 (2009-12-10) 

[-- 附件 #1 --] 

[-- 种 类 : textplain， 编 码 : 8bit， 大 小 : 0.1K --] 

不 过 是 个 附件 测试 ! <== 信 件 的 内 文部 分 

[-- 附件 #2: passwd --] <== 说 明 信 件 的 附件 夹 市 部 分 


[-- 种 类 : applicationoctet-stream， 编 码 : base64， 大 小 : 41K --] 





[-- application/octet-stream 尚未 支持 ( 按 'v' 来 显示 这 部 份 ) --] 
-O +- 14/14: root 附件 

-- (all) 

# 3. 在 上 面 和 画面 按 下 Vv 后， 会 出 现 相关 的 附件 数据 : 

qd: 离开 s: 储 存 |: 管 线 p: 显 示 ?求助 

[1 <no description> [text/plain, 8bit, 

utf-8, 0.1K] 

A 2 passwd 


[applica/octet-stre, base64, 41K] 





# 反日 处 按 下 s 就 能 够 储存 附加 档案 吵 ! 
net.qiang(Dhotmail.com 
必 


最 后 离开 时 ， 一 直 按 下 q ， 然 后 参考 出 现 的 信息 来 处 理 即 可 这 束 是 本 机 
信件 的 收 信 方 


式 ! 非常 简单 ! ”附加 档案 的 储存 方面 也 很 容易 ， 真 是 非常 开心 啊 ! 那 
如 果 是 外 部 信箱 


呢 ? 举例 来 说 ， 我 用 root 的 身份 去 收 dmtsai 的 imaps 信件 ， 会 是 怎样 的 
情况 呢 ? 


# 工 .在 服务 器 端 必须 要 让 mail 这 个 群 组 能 够 使 用 dmtsai 的 家 目录 ， 上 所 以 
要 这 








样 : 

[dmtsai@www ~]$ chmod atx ~ 

# 2. 开始 在 客户 端 登 入 imaps 服务 器 取得 dmtsai 的 新 邮件 与 邮件 文件 夹 
[root@www ~]# mutt -f imaps:/www.centos.vbird 

qd: 离开?: 求 助 

这 个 验证 属于 : 

www.centos.vbird dmtsai(@www.centos.vbird 

KSU 

DIC 


‘Tainan Taiwan TW 


这 个 验证 的 派发 者 : 


www.centos.vbird dmtsai(Wwww.centos.vbird 
KSU 

DIC 

Tainan Taiwan TW 

这 个 验证 有 效 

由 Tue, 9 Aug 2011 06:45:32 UTC 

全 Wed, 8 Aug 2012 06:45:32 UTC 


SHAL Fingerprint: E86B 5364 2371 CD28 735C 9018 533F 4BC0 9166 
FDO03 


MDS5 Fingerprint: 54F5 CA4E 86E1 63CD 25A9 707E B76F 5B52 
-- Mutt: SSL Certificate check (certificate 1 of 1 in chain) 


(1) 不 接受 ，(2) 只 是 这 次 接受 ，(3) 永 远 接受 <== 这 里 要 填写 2 或 3 才 
行 ! 


在 www.centos.vbird 的 使 用 者 名 称 : dmtsai 
dmtsai@www.centos.vbird 的 密码 : 


最 终 在 密码 设 定 正 确 后 ， 你 束 会 看 到 刚刚 我 们 所 看 到 的 信件 了 ! 不 过 要 
注意 的 是 ， 如 果 


你 的 用 户 家 目录 在 非 正规 目录 ， 那么 可 能 会 出 现 SELinux 的 错误 ， 这 
时 就 得 要 重新 修 


订 一 下 你 的 SELinux 安全 本 文 的 类 型 哆 ! ”如 此 一 来 ， 我 们 就 直接 以 文 
本 模式 来 取得 网 


人 这 实在 是 非常 方便 的 一 件 事 ! 只 是 没有 图 文 并 成 而 已 ! 











22.4.3 Thunderbird 好 用 的 路 平台 (Windows/Linux X) 软件 
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:局 哥哥 您 的 名 字 


帐号 相关 的 
而 已 


Email 位 让 上 山 : dmtsai@www.centos.vb 填 富 民 你 
法 (PD): @@eeee 识别 资 讯 


回 记 住 窑 三 (M) 





自由 软件 最 大 的 好 处 之 一 就 是 该 软件 大 多 可 以 进行 移植 ， 也 束 是 在 任何 
操作 系统 上 


面 几乎 都 能 够 执行 该 软件 的 意思 。 ”因此 学 习 自 由 软件 的 好 处 就 是 ， 你 
不 必 因 为 转换 操 


0 


金 会 推 





ThunderBird ( 雷 乌 ) 这 个 好 用 的 史 噬 ， 你 可 以 在 底下 的 网 址 上 面 找到 党 
体 中 文 的 软件 : 


http:/moztw.org/thunderbird/ 
有 鉴于 目前 客户 端 还 是 以 Windows 操作 系统 为 大 宗 ， 所 以 底下 的 说 明 


主要 是 在 








Windows 7 上 头 的 安装 与 设 定 为 主 。 目 前 (2011/08) 最 新 的 Thunderbird 
已 经 出 到 


5.x 了 ， 所 以 鸟 哥 以 繁体 中 文 的 5.x 为 范例 来 介绍 咖 。 下 载 完 毕 的 安装 
过 程 乌 哥 省 略 


了 ， 因 为 一 直下 一 步 而 已 。 乌 哥 直 接 跳 到 第 一 次 局 动 Thunderbird 的 介 
绍 ， 希 望 对 大 


家 有 帮助 哟 ! 岛 哥 是 以 dmtsai@Dwww.centos.vbird 这 个 账号 为 范例 来 说 
明 的 哟 ! 初次 


启动 会 出 现下 图 : 
图 22.4-1、 第 一 次 启动 Thunderbird 的 示意 图 


由 于 是 第 一 次 启动 ， 所 以 thunderbird 里 面 没有 任何 识别 数据 。 此 时 你 可 
以 填写 


你 要 在 email 上 面 让 人 家 看 到 的 数据 ， 以 及 包括 你 登入 远程 信箱 的 账号 


密码 等 信息 。 


上 图 鸟 哥 的 昵称 为 『 鸟 哥哥 ] ， 而 Email 是 要 给 收 件 者 看 到 的 ， 密 码 当 
然 就 是 目 己 的 


不 外 流 一 填 完 之 后 按 下 继续 」 吧 ! 
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您 的 六 名 (ND:。 身 要 可 的 名 字 ， 用 於 显示 在 你 的 事件 J 
Email 位 站 人 DD: tsai@www.centos.vbird 
三 二 (D): @O@oeee 


回 起 住 雪 二 (MW) 


可 Thunderbird 六 试 寻 斌 您 的 晓 颌 设 定 佰 舌 败 ， ] 改 成 正确 的 主机 名 稳 


之 要 二 视 


收 伍 : |JMAP 一 | www | 


圳 仁 : SMTP 


















www.centos.vbird 








侍 写 的 全 类 cmtsal 
A 改 成 正确 的 通讯 协 蝶 


图 22.4-2、Thunderbird 主动 的 以 用 户 信息 尝试 登入 服务 器 





由 于 刚刚 图 22.4-1 有 输入 账号 与 密码 信息 ， 因 此 ， 在 这 一 个 步骤 中 ， 
Thunderbird 


会 主动 的 尝试 登入 远程 信箱 ! 不过， 好像 会 抓 取 错误 的 信息 的 样子 。 
如 果真 的 抓 错 了 ， 


请 修改 第 尖 1 指 的 服务 器 主机 名 ， 以 及 通讯 协议 的 相关 设 定 值 ， 按 下 
[重新 侦 测 」， 





确定 捉 到 的 数据 是 正确 了 ， 再 按 下 『 建 立 账 号 」 或 『 进 阶 设 定 」 (第 兴 4 
指 的 地 方 ) 即 可 ! 


如 果 你 很 好 奇 进 阶 设 定 里 面 有 啥 ， 点 选 箭头 4 指 的 地 方 ， 会 出 现 如 下 的 
详细 资料 : 


net.qiang@hotmail.com 


Es 





admtsai@www.centos.vbird 








伺服 器 设 定 
- 同 骏 问 纠 型 。 。 IMAP 旭 什 合肥 
入 熏 同 驴 器 科 笑 (Sy): www.centos.vbird Port (P): ”993 启 巴 设 : 993 
六 到 全 慎 壹 匀 秘 (dmtsai 
筷 盘 
和 关 宇 坡 主 
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之 未 芝 f 灶 和 "0 BEss 
二 EL 2 
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园 每 内 ”10 同 分 炮 迟 前 新 过 位 


CE 
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| 走 按 砍 入 (D) 
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加 每 次 获 动 Thunderbird 时 各 竺 新 检 杏 (A) 


图 22.4-3、 手 动 修改 账号 的 相关 参数 


如 上 图 所 示 ， 扣 选 服务 占 设 定 项 目 ， 然 后 去 查阅 一 下 收 信 的 服务 器 设 定 
是 否 正 确 ? 


知 正 确 的 话 ， 束 按 下 确定 吧 ! ”然后 会 出 现 如 下 的 图 示 ， 要 你 确定 是 否 
使 用 Thunderbird 


作为 默认 的 电子 邮件 收发 软件 就 是 了 ! 直接 点 确定 进入 下 个 步骤 吧 ! 
图 22.4-4、 建 立 默 认 的 MUA 软件 示意 图 


由 于 Thunderbird 会 尝试 使 用 你 输入 的 账号 密码 去 登入 远程 服务 器 的 
imaps 服 


务 ， 所 以 就 会 出 现 如 下 图 一 般 的 凭证 取得 示意 ， ”这 时 要 按 喻 ? 当然 是 
确认 永久 储存 该 


凭证 啤 ! 很 简单 的 啊 ! 





net.qiang@hotmail.com 


、 ”您 正名 图 杆 董 Thunderbird 要 如 何 往 副 此 找 站 的 设 定 
人 请 注意 ， 合 法 的 银行 、 商 店 或 其 他 公开 网 站 不 会 要 求 您 这 度 做 ! 


人 


伺 张 一 


滞 稚 六 和 
此 所 必 营 条 用 短 效 的 次 挫 知 别 富 己 : 术 沉 QW 


未 知 身分 


永久 售 存 此 例外 四 





图 22.4-5、 取 得 凭证 的 示意 图 


确定 凭证 OK、 账号 密码 也 OK 的 话 ， 就 可 以 开始 使 用 Thunderbird 图， 
正常 使 用 


的 图 示 有 点 像 这 样 : 


net.qiang@hotmail.com 






= | | 


理 实 日“ 睛 验 日 培 痪 VW 有 全 人 OO 医生 (MD 





工具 中 RE 四 


a 人 本 二 昌 昌 5 | ， 天 E72 LD 2 
| 山 收 件 区 | | q- 攻 

所 有 韶 衬 灾 2 4 > | 全 过 过 淹 8 昌 @ 过 济 演 羡 丰 二 <C A 
4 入 dmtsai@www.centos.vbird 也 会 息 主 号 oo 和 从 @ 日 其 
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* 下 午 03:20 





> 加 | 本 柑 地 件 巨 











Just test * root » 下 字 04:14 


My bashrc * rooct *。 下 午 04:14 = 


小 刁 要- 中 于 本 丽 雪 三 和 学 去年 济 各 





: (from) root <root@Wwww.centos.vbird > 
器 (subject) 附件 下 二 03:24 


3 到 {to) 便 忆 宫 以 他 到 作 " 


下 @ 一 全 了 FE = 易 里 六 - 





- 
‘ 光 NA 

人 ss 

< 一 pa 


图 22.4-6、Thunderbird 正常 操作 示意 图 


如 果 一 切 成 功 顺 利 ， 那 么 你 应 该 会 看 到 如 上 的 画面 了 ! 回 到 刚刚 我 们 得 
询 到 的 标题 


名 为 『 附 件 」 的 邮件 ， 查 阅 一 下 内 容 ， 嘿嘿 ! 你 会 看 到 内 文 与 附件 都 
是 OK 正常 的 啦 ! 


而 且 更 开心 的 是 ， 由 于 是 imaps 的 通讯 协议 ， 因 此 Thunderbird 的 内 容 
会 与 服务 器 上 








面 的 /var/spool/mail/dmtsai 这 个 信箱 内 容 同步 喔 ! 不 像 POP3 抓 下 来 就 
删除 服务 器 


的 信件 ! 真是 好 好 用 的 软件 啊 ! 人 人 

Tips: 

老实 说 ， 由 于 gmail 等 免费 邮件 的 盛行 ， 目 前 连 Openwebmail 自 

由 软件 都 很 少 人 安装 了 ! 鸟 哥 上 课时 看 到 的 同学 ， 几乎 全 部 使 用 
gmail, yahoo mail, hotmail 等 的 web 接口 的 MUA， 根 本 没 人 在 

用 本 机 端的 MUA 了 一 但 是 ， 某 些 时 刻 某 些 过 时 的 信件 还 是 得 要 从 
web mail 上 面 捉 下 来 ， 这 时 ，Thunderbird 就 派 上 用 场 哩 ! 和 和 

22.5 邮件 服务 器 的 进 阶 设 定 


时 至 今日 ， 邮 件 攻击 主要 的 问题 已 经 不 是 病毒 与 木马 了 ， 大 多 数 的 垃圾 
邮件 多 是 钓 

鱼 以 及 色情 广告 
的 操作 习惯 ， 这 


部 份 很 难处 理 。 色 情 广 告 则 是 防不胜防 ， 你 想 出 一 个 过 滤 机 制 ， ”他 就 
使 用 为 一 个 机 制 


来 丢 你 ! 用 户 格 的 过 才 滤 机 制 吗 ? 又 可 能 将 正 各 的 信件 抵挡 掉 ， 真 是 要 命 
啊 ! 所 以 ， 还 是 


请 用 户 直 接 删除 比较 好 。 因此， 在 这 一 个 小 节 当 中 ， 关 于 收 信 的 过 滤 
机 制 方面 ， 马 哥 











网 络 钓 鱼 的 问题 在 于 用 户 的 英名 好 奇 心 以 及 较 糟 料 





net.giang(@hotmail.com 


O 
移 除 了 前 一 版 介绍 的 病毒 扫 瞄 以 及 自动 学 习 广 告 机 制 了 。 ”如 果 你 还 是 


有 相关 的 需要 ， 
可 能 得 要 自行 得 但 相关 的 官方 网 站 哆 ! 不 好 意思 啦 ! 


另外 ， 底 下 主要 针对 ”postfix ”的 邮件 收 下 过 滤 处 理 ， 以 及 重新 发 送 的 
Relay 过 程 


进行 介绍 。 这 两 个 过 程 在 postfix 的 设 定 中 ， 主 要 有 几 个 重要 的 项 目 管 














smtpd_recipient_restrictions: recipient 是 收 件 者 的 意思 ， 这 个 设 定 值 


主要 在 管理 『 由 本 机 所 收 下 的 信件 上 的 功能 ， 因 此 大 部 分 的 设 定 都 是 在 
进行 邮件 


过 滤 以 及 是 否 为 可 信任 邮件 的 意思 。 来 源 可 以 是 MTA 或 MUA 的 意 
思 ,; 





smtpd_client_restrictions: client 是 客户 端的 意思 ， 因 此 主要 在 管理 客 


人 可 以 将 非 正规 的 mail server 来 信 拒 绝 掉 的 ! 








然 就 是 MUA 嗓 ; 


smtpd_sender_restrictions: sender 是 寄 件 人 的 意思 ， 可 以 针对 信件 来 


(对 方 邮 件 服务 器 ) 来 进行 分 析 过 滤 的 动作 。 来 源 理论 上 就 是 MTA 啦 ! 
22.5.1 邮件 过 滤 一 : 用 postgrey 进行 非 正规 mail server 的 垃圾 信 抵 挡 


早期 的 广告 信 很 多 都 是 籍 由 僵尸 计算 机 (已 经 被 当 作 跳 板 但 管理 员 却 没 
有 发 现 或 


没有 处 理 的 主机 ) 来 发 送 的 ， 这 些 僵尸 计算 机 所 发 送 的 信件 有 个 很 明显 
的 特色 ， 就 是 


『 他 只 会 答 试 传送 该 封 电子 邮件 一 次 ，“ 不 论 有 无 成 功 ， 该 封 信 台 算 发 





出 去 了 ， 故 该 信 


件 将 被 移出 队列 中 。」 不 过 ， 合 法 的 mail server 运作 流程 就 如 _22.2.8 
分 析 的 一 般 ， 


在 邮件 无 法 顺利 寄 出 时 该 邮件 会 暂时 放置 到 队列 中 一 段 时 间 ， ”并 一 直 


尝试 将 信件 寄 出 
的 动作 ， 预 设 直到 五 天 后 若 还 是 无 法 寄 出 才 会 将 信件 退回 。 


根据 这 个 合法 与 非法 的 邮件 服务 器 运作 流程 而 发 展 出 一 套 所 谓 的 曙光 
(postgrey) 


软件 ， 你 可 以 参考 撒 下 的 几 个 说 明 来 了 解 这 个 软件 : 


http://isg.ee.ethz.ch/tools/postgrey/ 











http:/www.postfix.org/SMTPD POLICY README.html 
基本 上 postgrey 主要 的 功能 是 在 记录 发 信 来 源 而 已 ， 若 发 信 来 源 同一 封 
信 第 一 次 


寄 来 时 ， postgrey 预 设 会 抵挡 他 ， 并 且 将 来 源 地 址 记录 起 来 ， 在 约 5 分 
钟 后 ， 耕 该 


信件 又 传 来 一 次 时 ，“ 则 该 信件 会 被 收 下 来 。 如 此 则 可 以 杜绝 非 发 邮件 
服务 器 单 次 友 送 


的 问题 喔 ! 和 人 人! 但 对 于 你 确定 合法 的 主机 则 可 以 开放 有 所谓 的 『 白 名 单 
(whitelist) J 


来 优先 通过 而 不 抵挡 。 所 以 说 ， 他 主要 是 这 样 进行 的 : (参考 














1. 确认 发 信 来 源 是 否 在 白 名 单 中 ， 知 是 则 予以 通过 ; 


2. 确认 收 信者 是 个 在 白 名 单 中 ， 符 是 则 予以 通过 ; 








3. 确定 这 封 信 是 人 否 已 经 被 记录 起 来 呢 ? 放行 的 依据 是 : 
net.qgiang@hotmail.com 

0 若 无 此 信件 的 记录 ， 则 将 发 信 地 址 记录 起 来 ， 并 将 信件 退回 ; 

o 大 有 此 信件 的 记录 ， 但 是 记录 的 时 间 疝 未 超过 指定 的 时 间 ( 预 设 5 
分 钟 )， 则 依旧 退回 信件 ; 

o 各 有 信件 的 记录 ， 且 记录 时 间 已 超过 指定 的 时 间 ， 则 了 予以 通过 ; 


整个 过 程 简 单 的 来 说 就 是 这 样 而 已 。 不 过 为 了 要 快速 的 达成 postgrey 的 
[记录 | 


能 力 ， 所 以 数据 库 系统 又 是 不 可 避免 的 东西 。 且 postgrey 古 由 perl 写 
成 的 ， 你 可 


0 需要 加 入 很 多 相依 的 perl 模块 才 行 。 总 的 来 说 ， 你 需要 的 软件 至 少 
要 











BerkeleyDB: 包括 db4, db4-utils, db4-devel 等 软件 : 
Perl: 使 用 yum install perl 即 可 ; 


Perl 模块 : perl-Net-DNS 是 CentOS 本 身 有 提供 的 ， 其 他 没有 提供 的 
可 


以 到 http:/rpmfind.net/ 去 搜寻 下 载 。 
安装 流程 : 


因为 CentOS 官方 已 经 提供 了 一 个 连结 可 以 找到 所 有 的 在 线 yum 安 闭 方 
| 


以 参考 : 





在 线 安装 软件 : 


http://wiki.centos.org/AdditionalResources/Repositories/(RPMForge 
鸟 哥 假设 你 已 经 下 载 了 
http://packages.sw.be/rpmforge-release/rpmforge-release-0.5.2-2.el6.rf.x86_ 
64.rpm 这 个 软件 且 放 置 到 /root 底下 ， 然 后 这 样 做 : 

[root@www ~]# rpm --import http://apt.sw.be/RPM-GPG-KEY .dag.txt 
[root@www ~]# rpm -ivh rpmforge-release-0.5.2-2.el6.rf.x86_64.rpm 
[root@www ~]# yum install postgrey 


上 述 的 动作 在 进行 数字 签名 档案 的 安装 、yum 配置 文件 的 建 置 ， 以 及 最 
终 将 postgrey 


透 过 网 络 安装 起 来 而 已 ! ”整个 流程 简单 到 不 行 呢 ! 最 重要 的 是 ， 找 到 
适合 你 的 yum 配 


置 文件 软件 来 安装 天 是 了 ! 








局 动 与 设 定 方式 : 
net.qiang(Ohotmail.com 


为 postgrey 是 额外 的 一 个 软件 ， 因 此 我 们 还 是 得 要 将 它 视 为 一 个 服务 


来 启动 ， 


同时 postgrey 是 本 机 的 socket 服务 而 非 网 络 服务 ， 他 只 提供 给 本 机 的 
postfix 来 


作为 一 个 外 挂 ， 因 此 观察 的 方式 并 不 是 观察 TCP/UDP 之 类 的 联机 喔 ! 


底下 让 我 们 来 瞧 

瞧 司 动 与 观察 的 过 程 吧 ! 

[root@www ~]#/etcinit.d/postgrey start 

[root@www ~]# chkconfig postgrey on 

[root@www ~ 1# netstat -anlp | grep postgrey 

Active UNIX domain sockets (servers and established) 
Proto RefCnt Type State PID/Program Path 

unix 2 STREAM LISTENING 17823/socket 


/var/spool/postfix/postgrey/socket 


上 表 中 最 重要 的 就 是 那个 输出 的 path 项 目 
啦 ! /var/spool/postfix/postgrey/socket 


是 用 来 做 为 程序 之 间 的 数据 交换 ， 这 也 是 我 们 的 postfix 要 将 信件 交 给 
postgrey 处 


理 的 一 个 相当 重要 的 接口 ! 有 了 这 个 数据 后 ， 接 下 来 我 们 才能 够 开始 修 
改 postfix 的 


main.cf 嘱 ! 


[root@www ~]# vim /etc/postfix/main.cf 





#1. 更 改 postfix 的 main.cf 主 配 置 文件 资料 : 


# 一般 来 说 ，smtpd_recipient_restrictions ”得 要 手动 加 入 才 会 更 动 默认 
值 : 


smtpd_recipient_restrictions = 


permit_mynetworks, <== 默 认 值 ， 允 许 来 自 mynetworks 


设 定 值 的 来 源 

reject_unknown_sender_ domain, <== 拒 绝 不 明 的 来 源 网 域 (限制 来 源 
MTA ) 

reject_unknown_recipient_domain, <== 拒 绝 不 明 的 收 件 者 (限制 目标 
MTA) 

reject_unauth_destination, <== 默 认 值 ， 拒 绝 不 信任 的 目标 
check_policy_service unix:/var/spool/postfix/postgrey/socket 


# 重点 是 最 后 面 那 一 行 ! 就 是 指定 使 用 unix socket 来 连接 到 postgrey 之 


涡 


# 后 续 我 们 还 有 一 些 广告 信 的 抵挡 机 制 ， 

特别 建议 您 将 这 个 postgrey 的 设 定 

值 写 在 最 后 ， 

# 因为 他 可 以 算是 我 们 最 后 一 个 检验 的 机 制 喔 ! 

#2. 更 改 postgrey 的 抵挡 秒 数 ， 建 议 将 原本 的 300 秒 (五 分 钟 ) 改 为 60 


秒 较 佳 : 





[root@www ~]# vim /etc/sysconfig/postgrey <== 预 设 不 存在 ， 请 手动 建立 
OPTIONS="--unix=/var/spool/postfix/postgrey/socket --delay=60" 

# 重点 是 --delay 要 抵挡 几 秒 钟 ， 默 认 值 为 300 秒 ， 我 们 这 里 改 为 60 秒 
竺 


行 。 


net.qiang(Ohotmail.com 


[root@www ~ 1]# /etc/init.d/postfix restart 
[root@www ~ 1]# /etc/init.d/postgrey restart 


由 于 过 往 的 经 验 指 出 ， 等 待 5 分 钟 有 时 候 会 让 某 些 正常 的 mail server 也 
会 被 拒绝 好 


和 久 ， 对 于 紧急 的 信件 来 说 ， 这 样 有 点 不 妥 。 因此 ，CentOS 官网 也 建议 
将 这 个 数值 改 小 


一 点 ， 例 如 60 秒 即 可 。 反 正 ， 不 正常 的 信件 第 一 次 寄 就 会 被 拒绝 ， 等 
多 久 似乎 也 不 


是 这 么 重要 了 。 然 后 ， 在 postfix 的 设 定 中 ， 默 认 值 仅 有 人 允许 本 机 设 定 


(permit_mynetworks) 以 及 拒绝 非 信任 的 目标 
(reject_unauth_destination)， 乌 哥 根 


据 经 验 ， 先 加 入 拒绝 发 件 人 (MTA) 的 不 明 网 域 以 及 拒绝 收 件 者 的 不 明 
网 域 的 信件 了 ， 


这 样 也 能 够 减少 一 扒 不 明 的 广告 信件 。 最 终 才 加 入 postgrey 的 分 析 。 


要 注意 的 是 ，smtpd_recipient_restrictions 里 面 的 设 定 是 有 顺序 之 分 的 ! 
以 上 


面 的 流程 来 说 ， ”只要 来 自信 任用 户 ， 该 封 信件 残 会 被 收 下 会 转 递 ， 然 
后 不 明 的 来 源 与 


目标 会 被 拒绝 ， 不 受信 任 的 目标 也 会 被 拒绝 ， ”这 些 流程 完毕 之 后 ， 才 
开始 正常 信件 的 


postgrey 机 制 处 理 ! 这 样 其 实 已 经 可 以 克服 一 堆 广 告 信 了 ! 接 下 来 ， 让 
我 们 测试 看 看 


postgrey 有 没有 正常 运作 ! 请 在 外 部 寄 一 封 信 到 本 机 来 吧 ! 例如 寄 给 
dmtsai@www.centos.vbird， 然后 查 一 下 /var/log/maillog 的 内 容 看 看 : 














Aug 10 02:15:44 www postfix/smtpd[18041]: NOQUEUE: reject: RCPT 
from 


vbirdwin7[192.168.100.30]: 450 4.2.0 <dmtsai@www.centos.vbird>: 
Recipient address rejected: Greylisted, see 
http://postgrey.schweikert.ch/help/www.centos.vbird.html; 
from=<dmtsai@Qwww.centos.vbird> to=<dmtsai(@www.centos.vbird> 
proto=ESMTP helo=<[192.168.100.30]> 

乌 哥 事先 取消 permit_ mynetworks 之 后 才 开 始 测试 ， 测 试 完 毕 后 又 将 


permit_mynetworks 加 回来 才 好 ! 这 样 才 能 看 到 上 述 的 资料 。 这 表示 
postgrey 已 经 


开始 顺利 运作 了 ! 并 且 来 源 主机 的 相关 记录 也 已 经 记载 在 
/Var/spool/postfix/postgrey/ 目录 下 嘱 ! 如 此 一 来 您 的 postfix 将 可 以 透 过 
postgrey 来 挡 掉 一 些 莫 名 其 妙 的 广告 信 喝 ! 








设 定 不 受 管制 的 白 名 单 : 


不 过 postgrey 也 是 有 缺点 的 ， 怎 么 说 呢 ? 因为 postgrey 预 设 会 先 将 信件 
退回 去 ， 


所 以 你 的 信件 就 可 能 会 发 生 延 迟 的 问题 ， “延迟 的 时 间 可 能 是 数 分 钟 到 
数 小 时 ， 端 看 你 


的 MTA 设 定 而 定 。 如 果 你 想 要 让 『 某 些 信 任 的 邮件 主机 不 需要 经 过 
postgrey 的 抵挡 


机 制 ] 时 ， 束 得 要 开放 白 名 单 喝 ! 





日 名 单 的 开局 也 很 简单 啊 ， 直 接 编 写 


/etc/postfix/postgrey_whitelist_clients 


这 个 档案 即 可 。 “假设 你 要 让 乌 哥 的 邮件 服务 器 可 以 自由 的 将 信 寄 到 你 
的 MTA 的 话 ， 那 


么 你 可 以 在 这 个 档案 内 加 入 这 一 行 : 
net.qiang(Ohotmail.com 

0 

[root@www ~]# vim /etc/postfix/postgrey_whitelist_clients 
mail.vbird.idv.tw 

www.centos.vbird 

# 将 主机 名 写 进去 吧 ! 

[root@www ~ 1# /etc/init.d/postgrey restart 


如 果 你 还 有 更 多 信任 的 MTA 服务 嚣 的话， 将 他 写 入 这 个 档案 当中 ! 那 
他 就 可 以 略 过 

postgrey 的 分 析 哩 ! 更 进 阶 的 用 法 就 得 要 靠 您 自己 去 发 掘 哩 ! 和 人 
22.5.2 邮件 过 滤 二 : 关于 黑 名 单 的 抵挡 机 制 

还 记得 22.1.5 讲 到 的 Open Relay 的 问题 吧 ? 你 的 MTA 可 千 万 不 能 成 为 
Open Relay 的 状况 ， 否 则 对 你 的 网 络 与 『 信 用 」 影响 很 大 喔 ! 一 般 来 


说 ， 只 要 是 Open Relay 


的 邮件 MTA 都 会 被 列 入 黑 名 单 当中 ， 例如 台湾 地 区 的 学 术 网 络 黑 名 单 
以 及 因特网 社会 


上 提供 的 黑 名 单数 据 库 : 














http://rs.edu.tw/tanet/spam.html 


http://cbl.abuseat.org/ 


7 单数 据 库 里 面 的 mail server 本 里 束 是 有 问题 的 邮件 主机 ， 那 么 
[> 


单 里 面 的 主机 想 要 跟 我 的 mail server 联机 时 ， 我 当然 可 以 『 合 理 的 怀疑 
该 信件 是 有 

问题 的 ! 」 您 说 是 吧 ! ”所 以 来 自 黑 名 单 或 者 是 要 送 至 黑 名 单 的 信件 最 
好 是 不 要 接受 啦 ! 

您 当然 可 以 自行 前 往 该 网 站 将 有 问题 的 主机 列表 给 他 加 入 自己 的 邮件 主 
机 抵挡 机 

制 当 中 ， ”不 过 就 是 不 太 人 性 化 ! 既然 因特网 社会 已 经 提供 了 黑 名 单数 
据 库 了 ， 我 们 就 


可 以 利用 这 个 数据 库 来 抵挡 嘛 ! 在 决定 是 否 进行 Relay 之 前 ， 先 要 求 我 
们 的 postfix 




















前 往 妃 踪 黑 名 单 的 数据 库 ， 辱 目 标的 IP 或 主机 名 是 黑 名 单 的 一 员 ， 则 
我 们 就 将 该 信 
件 拒绝 哆 ! 


Postfix 设 定 黑 名 单 检验 真 的 很 简单 ， 你 只 要 这 样 做 即 可 : 
[root@www ~]# vim /etc/postfix/main.cf 
smtpd_recipient_restrictions = 

permit mynetworks, 

reject_unknown_sender_domain, 
reject_unknown_recipient_domain, 


reject_unauth_destination, 


reject_rbl_client cbl.abuseat.org, 
reject_rb]_client bl.spamcop.net, 
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reject_rbl_client cblless.anti-spam.org.cn, 
reject_rbl]_client sbl-xbl.spamhaus.org, 


check_policy_service unix:/var/spool/postfix/postgrey/socket 


# 请 注意 整个 设 定 值 的 顺序 才 好 ! 在 postgrey 之 前 先 检查 是 人 否 为 黑 名 
单 ! 


smtpd_client_restrictions = 





check_client_access hash:/etc/postfix/access, 
reject_rbl]_client cbl.abuseat.org, 
reject_rb]_client bl.spamcop.net, 
reject_rbl]_client cblless.anti-spam.org.cn, 


reject_rbl]_client sbl-xbl.spamhaus.org 


# 这 个 设 定 项 目 则 是 与 客户 端 有 关 的 设 定 ! 拒绝 客户 端 本 号 就 是 黑 名 单 
的 一 














郧 ! 

员 ! 

smtpd_sender_restrictions = reject_non_fqdn_sender, 
reject_unknown_sender_domain 


# 此 项 目 则 在 抵挡 不 明 的 送 件 者 主机 网 域 哆 ! 与 DNS 有 关系 的 哪 ! 


[root@www ~]# /etc/init.d/postfix restart 


上 表 当 中 的 特殊 字体 部 分 『reject_rbl_client」 是 postfix 内 的 一 个 设 定 项 
目 ， 后 面 


可 以 接 因特网 上 提供 的 黑 名 单 ! 。 您 得 要 注意 的 是 ， 这 个 黑 名 单数 据 库 
可 能 会 持续 的 变 


动 ， 请 您 先 以 dig 的 方式 检查 每 个 数据 库 是 否 真 的 存在 ， 如 采 存 在 才 加 
以 设 定 在 您 的 


主机 上 头 啊 ! (因为 因特网 上 头 很 多 文献 所 提供 的 黑 名 单数 据 库 似 乎 已 
经 不 再 持续 服务 


的 样子 ! ) 











检查 你 的 邮件 服务 占 是 否 在 黑 名 单 当中 ? 











和 


好 不 要 在 该 数据 库 中 嘛 ! 同时 这 些 数 据 库 通 常 也 都 有 提供 检测 的 功 
能 ， 所 以 你 也 可 以 


用 该 功能 来 检查 你 的 主机 是 否 『 记 录 有 案 」 呢 ? 你 可 以 这 样 处 理 的 : 
否 已 在 黑 名 单数 据 库 中 : 

确认 的 方法 很 简单 ， 直 接 到 _『http:/cblabuseat.org/lookup.cgi 」 输 入 您 

的 








主机 名 或 者 是 IP ， 就 可 以 检查 是 否 已 经 在 黑 名 单 当 中 ; 

2. 是 侣 具有 Open Relay: 

如 果 要 测试 你 的 主机 有 没有 Open Relay ， 直 接 到 
JR 」 这 个 网 页 ， 在 这 个 网 页 的 最 下 方 可 








A IP 来 检查 ， 注 意 喔 ， 不 要 使 用 别人 的 email IP 响 ! 此 时 该 主 
沁 会 
发 出 一 封 mail 的 测试 信 看 看 你 的 mail server 会 不 会 主动 的 代 转 ， 然后 
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0 
国人 en 要 注意 的 是 ， 回 传 的 网 页 可 能 有 编码 的 问题 ， 如 果 出 现 乱 
码 时 ， 请 


调整 为 big5 编码 即 可 。 
3. 如 何 移 除 : 


如 果 被 检查 出 ， 您 的 主机 已 经 在 黑 名 单 当 中 ， 那 么 请 立刻 将 Open Relay 
的 功能 


关闭 ， 改 善 你 的 Mail Server 之 后 ， 你 可 能 还 要 到 各 个 主要 的 ”Open 
Relay 网 


和 。 如 采 是 学 术 网 络 的 话 ， 请 与 您 单位 的 管理 员 联 


般 常 见 的 黑 名 单数 据 库 则 通常 会 主动 的 帮 您 移 除 ， 只 不 过 需要 一 些 时 间 
的 测试 就 


是 了 。 


总 之 您 必须 要 确定 你 不 在 黑 名 单 当中 ， 且 最 好 将 黑 名 单 的 来 源 给 拒绝 
掉 ! 搞定 ! 人 人 


22.5.3 邮件 过 滤 三 : 基础 的 邮件 过 滤 机 制 


在 整 封 信 的 传送 流程 当中 ， 客 户 端 右 通 过 主机 的 重重 限制 后 ， 最 终 应 该 
可 以 到 达 邮 








件 队 列 当 中 。 而 由 队列 当中 要 送出 去 或 者 是 直接 送 到 mailbox 就 得 要 透 
过 MDA 的 处 


理 。MDA 可 以 加 挂 很 多 机 制 呢 ! 尤其 是 他 可 以 过 滤 茶 些 特殊 字眼 的 广 
告 信件 或 病毒 信 


件 呢 ! MDA 可 以 透 过 分 析 整 封 信件 的 内 容 (包括 标 头 以 及 内 文 ) 来 揪 取 
有 问题 的 关键 


词 ， 然 后 决定 这 封 信 的 『 命 运 」 说 ! 


咱们 的 postfix 已 经 有 内 建 可 以 分 析 标 头 或 者 是 内 文 的 过 小 机 制 了 ， 那 


束 是 





/etc/postfix/ 目录 下 的 header_checks 以 及 body_checks 这 两 个 档案 啊 ! 在 
预 设 的 


人 postfix 使 用 ， 你 必需 要 用 撒 下 的 设 定 来 局 用 


[root@www ~]# vim /etc/postfix/main.cf 

header_checks = regexp:/etc/postfix/header_checks 
body_checks = regexp:/etc/postfix/body_checks 

# 那个 regexp 代表 的 是 『 使 用 正规 表示 法 」 的 意思 啦 ! 
[root@www ~]# touch /etc/postfix/header_checks 
[root@www ~]# touch /etc/postfix/body_checks 
[root@www ~ 1]# /etc/init.d/postfix restart 


接 下 来 你 必需 要 自行 处 理 header_checks 以 及 body_checks 的 规则 设 定 ， 
在 设 定 前 请 


您 确认 『 你 对 于 正规 表示 法 是 熟悉 的 」 才 行 ! 因为 很 多 信息 都 必需 要 
透 过 正规 表示 法 











来 处 理 啦 ! 然后 开始 设 定 的 依据 是 : 
只 要 是 # 代表 该 行为 批注 ， 系 统 或 直接 略 过 ; 
在 默认 的 规则 当中 ， 大 小 写 是 视 为 相同 的 ; 
规则 的 设 定 方法 为 : 
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0 
/规则 / 动作 显示 在 登录 文件 里 面 的 讯息 


、 要 使 用 两 个 斜 线 『 / 」 将 规则 包 起 来 咀 ! 举 个 例子 来 说 明 : 例 


我 想 要 (1) 抵 挡 挥 标题 为 A funny game 的 信件 ，(2) 并 且 在 登录 文件 里 面 


显示 





drop header deny， 则 可 以 在 header_chekcs 档案 中 可 以 这 样 写 : 
/ASubject:.*A funny game/ DISCARD drop header deny 

关于 动作 有 殿下 几 个 动作 ， 
0 REJECT : 将 该 封 信件 退回 给 原 发 信者 ; 
o WARN : 
将 信件 收 下 来 ， 但 是 将 该 封 信 的 基本 数据 记录 在 登录 文件 内 ; 
0 DISCARD: 将 该 封 信件 丢弃 ， 并 不 给 予 原 及 信者 回应 ! 


乌 哥 自己 有 作 一 些 规则 的 比 对 ， 只 不 过 .…. 效 能 不 好 ! 如 果 您 有 兴趣 的 
话 ， 可 以 


目 行 下 载 来 看 看 ， 不过， 使 用 的 后 果 请 自行 评估 ! 因为 每 个 人 的 环境 
都 不 一 样 嘛 ! 














header: 


http://linux.vbird.org/linux server/0380mail/header checks 

body: http://linux.vbird.org/linux_ server/0380mail/body checks 
记得 ， 如 果 你 目 行 修改 过 这 两 个 档案 后 ， 务 必要 检查 一 下 语法 才 行 ! 
[root@www ~]# postmap -gq - regexp:/etc/postfix/body_checks \ 
> < /etc/postfix/body_checks 


如 果 没 有 出 现任 何 错误 ， 那 就 表示 您 的 设 定 值 应 该 没有 问题 啦 ! 男 外 ， 
你 也 可 以 使 用 


procmail 这 个 抵挡 的 小 程序 来 处 理 。 不 过 ， 乌 哥 觉 得 procmail 在 大 型 邮 
件 主 机 当中 ， 


分 析 的 过 程 太 过 于 繁杂 ， 会 消耗 很 多 CPU 资源 ， 因 此 后 来 部 没有 使 用 
这 玩意 儿 了 。 


22.5.4 非 信任 来 源 的 Relay: 开放 SMTP 身份 认证 


在 图 22.1-1 的 流程 当中 ， 由 MUA 透 过 MTA 来 寄 发 信件 时 (具有 Relay 
的 动作 


时 )， 理 论 上 MTA 必需 要 开放 信任 用 户 来 源 才 行 ， 这 就 是 为 喻 我 们 必需 


要 在 main.cf 里 








头 设 定 smtpd_recipient_restrictions 那个 设 定 项 目的 原因 了 
(mynetworks)! 不 过 


人 总 有 不 方便 的 时 候 ， 举 例 来 说 ， 如 果 你 的 客户 端 使 用 的 是 拨 接 制 的 
ADSL 所 以 每 次 取 


得 的 IP 都 非 固定 ， 屠 如 何 让 你 的 用 户 使 用 你 的 MTA ? 很 麻烦 是 吧 ? 这 
个 时 候 SMTP 


认证 或 许 有 扣 攻 助 。 


什么 是 SMTP 呢 ? 束 是 让 你 在 想 要 使 用 MTA 的 port 25 (SMTP 协议 ) 
时 ， 得 要 输 


入 账号 密码 才能 够 使 用 的 意思 ! 既然 有 了 这 个 认证 的 功能 ， 于 是 乎 ， 你 
就 可 以 不 用 设 定 


MTA ”的 信任 用 户 项 目 ! 举例 来 说 ， 在 本 章 提 到 的 环境 下 ， 你 可 以 不 用 


设 定 mynetworks 这 


个 设 定 值 啊 ! 启动 SMTP 认证 ， 让 你 的 用 户 需 要 输入 账 密 才能 Relay 
史 ! 那 如 何 让 SMTP 
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支持 身份 认证 ?咱们 的 ”CentOS 已 经 有 提供 内 建 的 认证 模块 ， 那 就 是 
Cyrus SASL 这 个 


软件 的 帮忙 啦 ! 


Cyrus SASL (http://cyrusimap.web.cmu.edu/) 是 Cyrus Simple 
Authentication and Security Layer 的 缩写 ， 他 是 一 个 辅助 的 软件 。 在 
SMTP 认证 方面 ，Cyrus 主要 


提供 了 saslauthd 这 个 服务 来 进行 账号 密码 的 比 对 动作 ! 也 就 是 说 : 当 
有 任何 人 想 要 


进行 邮件 转 递 功能 时 ， Postfix 会 联络 saslauthd 请 其 代为 检查 账号 密 
码 ， 奉 比 对 通 


过 则 允许 客户 端 开始 转 寄 信件 。 


好 了 ， 如 宁 你 想 要 使 用 最 简单 的 方式 ， 就 是 直接 透 过 Linux 自己 的 帐 密 
来 进行 


SMTP 认证 功能 ， 而 不 使 用 其 他 如 SQL 数据 库 的 身份 认证 时 ， 在 
CentOS 当中 你 应 该 要 


这 样 做 : 


1. 安装 cyrus-sasl, cyrus-sasl-plain, cyrus-sasl-md5 等 软件 ; 
2. 启动 saslauthd 这 个 服务 ; 

3. 设 定 main.cf 让 postfix 可 以 与 saslauthd 联系 ; 

4. 客户 病 必 需要 在 寄 信 时 设 定 『 邮 件 主 机 认证 」 功 能 。 


如 此 一 来 客户 端 才能 够 启动 SMTP AUTH 喔 ! 关于 软件 安装 方面 ， 请 使 
用 yum 直接 


安装 吧 ! 不 再 多 虽 唆 ! 底下 我 们 由 启动 ”saslauthd ”这 个 服务 开始 谈 起 
吧 ! 


启动 saslauthd 服务 : 进行 SMTP 明码 身份 验证 功能 


saslauthd 是 Cyrus-SASL 提供 的 一 个 账号 密码 管理 机 制 ， 他 能 够 进行 挺 
多 的 数据 


库 验 证 功能 ， 不 过 这 里 我 们 仅 使 用 最 单纯 简单 的 明码 验证 (PLAIN)! 如 
果 我 们 想 要 直 


接 使 用 Linux 系统 上 面 的 用 户 信息 ， 也 就 是 /etc/passwd, /etc/shadow 所 
记载 的 账 


号 密码 相关 信息 时 ， 可 以 使 用 saslauthd 提供 的 『 shadow 」 这 个 机 制 |， 
当然 也 能 使 


用 『pam 」 啦 ! 更 多 的 saslauthd 联机 至 MTA 的 机 制 请 『 man saslauthd 
」 来 查阅 


吧 。 由 于 我 们 的 帐 密 可 能 来 自 网 络 其 他 类 似 NIS 服务 器 ， 因 此 这 里 建 
议 可 以 使 用 pam 


模块 喔 ! 
saslauthd 的 局 动 真是 好 简单 ， 首 先 你 必需 要 选择 密码 管理 机 制 ， 这 个 可 








以 使 用 底 

下 的 方式 处 理 : 

#1. 先 了 解 你 的 saslauthd 有 支持 哪些 密码 管理 机 制 ; 

[root@www ~]# saslauthd -v 

saslauthd 2.1.23 

authentication mechanisms: getpwent kerberos5 pam rimap shadow ldap 
# 上 列 的 特殊 字体 部 分 就 是 有 支持 的 ! 

我 们 要 直接 用 Linux 本 机 的 用 户 信息 ， 

# 所 以 用 pam 即 可 ， 当 然 也 能 够 使 用 shadow 啦 。 
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#2. 在 saslauthd 配置 文件 中 ， 选 定 pam 的 验证 机 制 : 
[root@www ~]# vim /etc/sysconfig/saslauthd 

MECH=pam <== 其 实 这 也 是 默认 值 啊 ! 

# 这 也 是 默认 值 ， 有 的 朋友 喜欢 单纯 的 shadow 机 制 ， 也 可 以 啦 ! 
# 3. 那 就 局 动 吧 ! 

[root@www ~|]# /etc/init.d/saslauthd start 


[root@www ~]# chkconfig saslauthd on 


之 后 我 们 必需 要 告知 Cyrus 这 个 吹 歇 使 用 来 提供 SMTP 服务 的 程序 为 
saslauthd 才 


行 ， 设 定 的 方法 很 简单 : 








[root@www ~]# vim /etc/sasl2/smtpd.conf 


log_level: 3 <== 登 录 文 件 信 息 等 级 的 设 定 ， 设 定 3 即 可 
pwcheck_method: saslauthd <== 就 是 选择 什么 服务 来 负责 密码 的 比 对 啊 
mech_list: plain login <== 那 么 支持 的 机 制 有 哪些 之 辣 ! 


我 们 可 以 使 用 mech_list 列 出 特定 支持 的 机 制 。 而 且 saslauthd 是 个 很 简 
单 的 账号 密 


码 管理 服务 ， 你 几乎 不 需要 进行 什么 额外 的 设 定 ， 直 接 局 动 他 就 生效 
了 ! 真是 好 方便 ! 


和 人 和 











更 改 main.cf 的 设 定 项 目 : 让 postfix 支持 SMTP 身份 验证 


那 我 们 的 postfix 该 如 何 处 理 呢 ? 其 实 设 定 真 的 很 简单 ， 只 要 这 样 做 吏 
a 





[root@www ~]# vim /etc/postfix/main.cf 

# 在 本 档案 最 后 面 增加 这 些 与 SASL 有 关 的 设 定 资 料 : 
smtpd_sasl_auth_enable = yes 
smtpd_sasl_security_options = noanonymous 


broken_sasl auth_ clients = yes 


# 然后 找到 跟 relay 有 关 的 设 定 项 目 ， 增 加 一 段 允 许 SMTP 认证 的 字 
样 : 


smtpd_recipient_restrictions = 
permit mynetworks, 


permit_sasl_authenticated, <== 重 点 在 这 里 ! 注意 顺序 ! 


reject_unknown_sender_domain, 

reject_unknown_recipient_domain, 

reject_unauth_destination, 

reject_rbl]_client cbl.abuseat.org, 

reject_rb]_client bl.spamcop.net, 
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reject_rb]_client cblless.anti-spam.org.cn, 

reject_rbl_client sbl-xbl.spamhaus.org, 

check_policy_service unix:/var/spool/postfix/postgrey/socket 

[root@www ~ 1]# /etc/init.d/postfix restart 

上 面 关 于 SASL 的 各 个 项 目的 意义 是 这 样 的 : 
smtpd_sasl_auth_enable 


就 是 设 定 是 否 要 启动 sasl 认证 的 意思 ， 如 果 设 定 启动 后 postfix 会 主动 
才 加 


载 cyrus sasl 的 函 式 库 ， 而 该 函 式 库 会 依据 /etc/sasl2/smtpd.conf 的 设 定 
来 连结 到 正确 的 管理 账号 与 密码 的 服务 。 





smtpd_sasl_security_options 


由 于 不 想 要 让 匿名 者 可 以 登入 使 用 SMTP 的 Relay 功能 ， 于 是 这 个 项 目 


中 只 要 





设 定 noanonymous 即 可 。 


broken_sasl auth clients 


这 个 是 针对 早期 非 正规 MUA 的 设 定 项 目 ， 因 为 早期 软件 开发 商 在 开发 
MUA 时 没 


有 参考 通讯 协议 标准 ， 所 以 造成 在 SMTP 认证 时 可 能 会 发 生 的 一 些 困 
执 二 这 坚 


和 MUA 例如 MS 的 outlook express 第 四 版 就 是 这 样 ! 后 来 的 版 
MY 


该 没有 这 个 问题 。 所 以 这 个 设 定 值 你 也 可 以 不 要 设 定 ! 
smtpd_recipient_restrictions 


Be 我 们 的 sasl 认证 可 以 放 在 第 二 行 ， 在 局 域 网 络 这 
| 可 依 


任 区 域 的 后 面 加 以 认证 。 上 表 的 设 定 意义 是 : 局 域 网 络 内 的 MUA 不 需 
要 认证 也 


能 够 进行 relay ， 而 非 区 网 内 的 其 他 来 源 才 需要 进行 SMTP 认证 之 意 。 


设 定 完 毕 也 重新 启动 postfix 之 后 ， 我 们 先 来 测试 看 看 是 否 真 的 提供 认 
i 











[root@www ~ |]# telnet localhost 25 

Trying 127.0.0.1... 

Connected to localhost.localdomain (127.0.0.1). 
Escape character is 人 ] . 

220 www.centos.vbird ESMTP Postfix 

ehlo localhost 

250-www.centos.vbird 


250-PIPELINING 


250-SIZE 10240000 

250-VRFY 

250-ETRN 

250-AUTH LOGIN PLAIN <== 你 得 要 看 到 这 两 行 才 行 哆 ! 
250-AUTH=LOGIN PLAIN 
250-ENHANCEDSTATUSCODES 
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4admtsai@www.centos.vbird 奇 件 伺 服 器 (SMTP) 设 定 
伍 弛 呆 认定 


信 分 钮 吉 和合 蕊 博 然 您 可 设 定 多 个 于 件 伺 如 器 (SMTP) ' 伍 通 写 设 定 一 个 就 和 东 了 ， 钓 十 过 多 最 运 扎 震 运 持久 


















: Www.centos.vbird 


Port (D): 25 预 扒 ， 25 


不 去 全 侍 验 的 社 清  v 


: dmtsai 


Eg Cu 











250-8BITMIME 
250 DSN 


quit 


221 2.0.0 Bye 





在 客户 端 局 动 文 持 SMTP 身份 验证 的 功能 : 以 thunderbird 设 定 为 例 


既然 已 经 在 MTA 设 定 了 SMTP 刁 份 验证 ， 那 么 我 们 MUA 当然 要 传送 
账号 、 密 码 给 


MTA 才能 通过 SMTP 的 验证 呆 ! 所 以 ,在 MUA 上 面 就 得 要 加 上 一 些 
额外 的 设 定 才 行 。 


我 们 依旧 以 Thunderbird 来 作为 介绍 ， 请 打开 thunderbird， 选 择 『 工 
具 」--> 『 账 号 


设 定 」 后 会 出 现 如 下 画面 : 
图 22.5-1、 在 Thunderbird 软件 中 设 定 支持 SMTP 验证 的 方式 


请 依据 上 图 的 箭头 号 码 来 指定 ， 先 选择 (1)SMTP 寄 件 服务 器 ，， 然 后 
选择 所 需要 


的 寄 件 SMTP 服务 嚣 后， 点 选 (3) 编 辑 ， 就 会 出 现 上 图 中 的 窗口 项 目 。 
选择 (4) 不 安 


全 传输 的 密码 后 ， 在 (5) 填 入 你 要 使 用 的 账号 即 可 。 如 果 要 测试 的 话 ， 
记得 此 客户 端 


不 要 在 局 域 网 络 内 ， 人 否则 将 不 会 经 过 认证 的 阶段 ， 因 为 我 们 的 设 定 以 信 
任 网 域 为 优先 嘛 ! 


如 果 一 切 都 顺利 的 话 ， 那 么 当 客 户 端 以 SMTP 来 验证 时 ， 你 的 登录 档 应 


该 会 出 现 类 


似 底下 的 讯 奶 才 是 : 
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0 








| 人 过 是 示 的 
ISP 的 Mk 


对 方 熏 你 的 MTA 
直接 涝 通 ' 与 你 的 设 定 有 关 而 已 





ry Mi Ty 





[root@www ~1# tail -n 100 /var/log/maillog | grep PLAIN 

Aug 10 02:37:37 www postfix/smtpd[18655]: 01CD43712: client=vbirdwin7 
[192.168.100.30], sasl method=PLAIN, sasl username=dmtsai 

22.5.5 非 固 定 IP 邮件 服务 器 的 春天 : relayhost 


我 们 上 面 提 到 ， 如 果 你 要 架设 一 部 合法 的 MTA 最 好 还 是 得 要 申请 固定 
的 IP 以 及 


正确 对 应 的 反 解 比较 恰当 。 但 如 末 你 一 定 要 用 浮动 IP 来 染 设 你 的 MTA 
的 话 ， 也 不 是 


不 可 以 啦 ， 尤 其 今年 (2011) 光纤 到 府 已 经 可 达 50M/5Mbps 的 下 载 /上 传 
速度 了 ! 你 当 


然 可 以 用 家 星 网 络 来 架 站 啊 ! 只 不 过 你 就 得 要 透 过 上 层 ISP 所 提供 的 
relay 权限 哆 ! 


这 是 怎么 回 事 啊 ? 让 我 们 来 看 看 一 个 实际 的 案例 : 
图 22.5-2、Relayhost: 利用 ISP 的 MTA 进行 邮件 转 递 


当 你 的 MTA 要 传 信件 给 目标 MTA 时 ， 如 果 直 接 传 给 目标 MTA， 由 于 
你 的 IP 可 能 














是 非 固 定 的 ， 因 此 对 方 MTA 狼人 会 把 你 当成 是 垃圾 来 源 ! 那 如 果 我 们 
可 以 透 过 ISP 进 


行 转 递 呢 ? 从 上 面 的 图 示 来 看 ， 当 你 要 传 给 目标 MTA 时 : (1) 先 将 信件 
交 给 歇 的 ISP， 


因为 你 是 ISP 的 客户 ， 通 常 来 信 都 会 被 ISP 接受 ， 因 此 这 个 时 候 这 封 信 
就 会 被 你 的 


ISP 给 relay 出 去 ; (2) 被 ISP 所 relay 的 信件 到 目标 MTA 时 ， 对 方 会 判 
呆 是 来 自 


那 部 ISP 的 MTA， 当 然 是 合法 的 mail server， 所 以 该 封 信 件 就 训 无 疑 
问 的 被 收 下 哆 ! 








不 过 想 要 以 此 架构 来 架设 你 的 MTA 仍 有 许多 需要 注意 的 地 方 : 
你 还 是 得 要 有 一 个 合法 的 主机 名 ， 知 要 省 钱 ， 可 以 使 用 DDNS 来 处 














你 上 层 的 ISP 所 提供 的 MTA 必需 要 有 提供 你 所 在 IP 的 relay 权限 ; 


你 不 能 使 用 目 定 义 的 内 部 DNS 架构 了 ， 因 为 所 有 relay 的 信 都 会 被 送 
至 


ISP 的 MTA 
net.giang(@hotmail.com 
必 


因为 所 有 外 送 的 信件 全 部 都 会 被 送 到 ISP 处 ， 所 以 像 
2 们 之 前 


目 己 玩 的 centos.vbird 这 种 非 合 法 的 领域 数据 就 没 用 了 ! 为 什么 呢 ? 你 
想 想 看 ， 如 果 





你 要 将 信件 送 给 www.centos.vbird， 但 由 于 上 述 relayhost 的 功能 ， 所 以 
这 封 信 会 


被 传 到 ISP 的 MTA 来 处 理 , 但 ISP 的 MTA 会 不 会 认识 你 的 
centos.vbird? 这 样 说 ， 


可 以 理解 了 吧 ? 
说 是 挺 难 的 ， 做 起 来 却 很 简单 ， 只 要 在 ”main.cf 里 面 加 设 一 段 数据 即 


可 。 假设 你 
的 环境 是 台湾 地 区 的 hinet 所 提供 的 用 户 ， 而 hinet 提供 的 邮件 主机 为 
ms1.hinet.net ， 则 你 可 以 直接 这 样 设 定 : 





[root@www ~]# vim /etc/postfix/main.cf 
# 加 入 底下 这 一 行 就 对 啦 ! 注意 那个 中 括号 ! 
relayhost = [ms1.hinet.net] 


[root@www ~ 1]# /etc/init.d/postfix restart 


之 后 你 只 要 尝试 寄 一 封 信 出 去 看 看 ， 就 会 了 解 这 封 信 是 如 何 寄 送 的 了 。 
看 一 下 登录 档 的 


内 容 会 像 这 样 : 


[root@www ~1# tail -n 20 /var/log/maillog 





Aug 10 02:41:01 www postfix/smtp[18775]: AFCA53713: 
to=<gqdd@mail.ksu.edu.tw>, 
relay=ms1.hinet.net[168.95.4.10]:25, delay=0.34, 
delays=0.19/0.09/0.03/0.03， 


dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as F0528233811) 


是 吧 ! 经 由 上 层 ISP 来 转 寄 啦 ! 如 此 一 来 ， 你 的 MTA 感觉 上 就 似乎 是 
部 合法 的 MTA 虽 ! 


不 过 ， 可 别 利用 这 个 权限 来 滥 友 广告 信 啊 ! 因为 您 所 透 过 的 那个 ISP 邮 
件 主机 可 是 有 


记录 你 的 IP 来 源 ， 如 果 你 乱 来 的 话 ， 后 果 可 是 不 堪 设 想 喔 ! 切记 切 
nat 


22.5.6 其 他 设 定 小 技巧 


除了 之 前 谈 到 的 几 个 主要 的 设 定之 外 ， postfix 还 有 提供 一 些 不 错 的 设 
定 要 给 大 


家 使 用 的 喔 ! 我 们 可 以 一 个 一 个 来 来 看 看 : 








单 封 信件 与 单个 邮件 信箱 的 大 小 限制 
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在 预 设 的 情况 下 ，postfix 可 接受 的 单 封 信件 最 大 容量 为 10MBytes ， 不 
过 这 个 数 


值 我 们 是 可 以 更 改 的， 动作 很 简单 : 











[root@www ~]# vim /etc/postfix/main.cf 
message_size_limit = 40000000 
[root@www ~]# postfix reload 


上 面 的 单位 是 bytes， 所 以 我 将 单 封 信件 可 接受 大 小 改 为 40MByte 的 意 


思 哮 ! 请 按照 


你 的 环境 来 规定 这 个 数值 。 而 从 前 我 们 要 管制 /var/spool/mail/account 大 
多 是 使 用 


文件 系统 内 的 quota 来 达成 ， 现在 的 postfix 不 需要 啦 ! 可 以 这 样 做 : 
[root@www ~]# vim /etc/postfix/main.cf 

mailbox_size_limit = 1000000000 

[root@www ~]# postfix reload 


我 给 每 个 人 1GB 的 空间 啊 ! 入 信 


寄 件 备份 : SMTP 自动 转 寄 一 份 到 备份 时 


收 件 备份 我 们 知道 可 以 使 用 /etc/aliases 来 处 理 的 ， 但 是 如 果 想 要 送 件 也 
备份 呢 ? 


利用 底下 的 方式 即 可 : 





[root@www ~]# vim /etc/postfix/main.cf 
always_bcc = some@host.name 


[root@www ~]# postfix reload 


如 此 一 来 任何 人 寄 出 的 信件 都 会 复制 一 份 给 ”some@host.name 那个 信 
箱 。 不 过 ， 除 非 您 


的 公司 很 重视 一 些 商业 机 密 ， ”并且 已 经 公告 过 所 有 同仁 ， 否 则 进行 这 
个 设 定 值 ， 乌 哥 


个 人 认为 侵犯 隐私 权 很 严重 ! 


配置 文件 的 权限 问题 : 权限 错误 会 不 能 司 动 postfix 


这 部 份 我 们 以 ” Sendmail ”官方 网 站 的 建议 来 说 明 喔 ! 其 实 也 适用 于 
postfix 的 啦 ! 








其 中 ， 大 部 分 是 在 于 『 目 录 与 档案 权限 」 的 设 定 要 求 上 面 : 
请 确定 /etc/aliases 这 个 档案 的 权限 ， 仅 能 由 系统 信任 的 账号 来 修改 ， 





通 
第 其 权限 为 644 ; 
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请 确定 Mail server 读 取 的 数据 库 (多 半 在 /etc/mail/ 或 
/etc/postfix/ 底下 的 *.db 档案 )， 例 如 mailertable, access， 


virtusertable “等 等 ， 仅 能 由 系统 信任 的 用 户 读 取 ， 其 他 一 概 不 能 读 取 ， 
通常 权 


限 为 640 ; 
系统 的 队列 目录 (/Var/spool/mqueue 或 /Var/spool/postfix) 仅 允 许 系 
统 读 取 ， 通 党 权限 为 700 ; 


. 请 确定 ~/.forward 这 个 档案 的 权限 也 不 能 设 定 成 为 任何 人 均 可 查阅 的 


限 ， 否 则 您 的 e-mail 数据 可 能 会 被 窃取 一 
总 之 ， 一 般 用 户 能 够 不 用 ~/.forward 与 aliases 的 功能 ， 就 不 要 使 用 ! 


0 的 使 用 上 还 是 需要 身 为 网 站 管理 员 的 您 多 费心 ! 多 多 观察 登录 
当 啊 ! 





备份 资料 : 与 mail 有 关 的 目录 是 哪些 ? 


不 管 什 么 时 候 ， 备 份 总 是 重要 的 ! 那么 如 果 我 是 单纯 的 Mail Server 而 
Ey 反击 


要 的 备份 数据 有 哪些 呢 ? 


/etc/passwd, /etc/shadow, /etc/group 等 与 账号 有 关 的 资料 ; 








/etc/mail, /etc/postfix/ 底下 的 所 有 档案 数据 ; 

/etc/aliases 等 等 MTA 相关 档案 ; 

/home 底下 的 所 有 用 户 数 据 ; 

/Var/spool/mail 底下 的 档案 与 /Var/spool/postfix 邮件 队列 档案 ; 
其 他 如 广告 软件 、 病 毒 扫 瞄 软 件 等 等 的 设 定 与 定义 档 。 





普 误 检查 : 查 出 不 能 局 动 postfix 的 问题 流程 


虽然 Mail 很 方便 ， 但 是 仍然 会 有 无 法 将 信件 寄 出 的 时 候 ! 如 果 您 已 经 
设 定好 MTA 


了 ， 但 是 总 是 无 法 将 邮件 寄 出 去 ， 那 可 能 是 什么 问题 呢 ? 你 可 以 这 样 妃 
中 看 看 : 


例如 ， 是 否 没 有 驱动 网 卡 ? 是 否 调 制 解 调 嚣 出 问题 ? 是 否 hub 热 当 啦 ? 
古 否 路 


由 露 俘 目 服 务 等 等 的 ! 
2. 关于 网 络 参数 的 问题 : 


如 果 连 不 上 Pnternet ， 那 么 哪里 来 的 Mail Server 呢 ?” 所 以 请 先 确 认 你 的 
网 


络 已 经 正常 的 局 用 了 ! 
来 处 理 。 
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3. 天 于 服务 的 问题 : 


请 务必 确认 与 mail server 有 关 的 埋 口 已 经 顺利 启动 ! 例如 port 25, 110,， 
143, 


993, 995 等 等 ， 使 用 netstat 指令 即 可 了 解 是 否 已 经 启动 该 服务 ! 

4. 关于 防火 墙 的 问题 : 

很 多 时 候 ， 很 多 朋友 使 用 Red Hat 或 者 其 他 Linux distribution 提供 的 防 
大 








人 结果 忘 了 启动 port 25 与 port 110 的 设 定 ， 导 致 无 法 收发 
言 件 ! 


请 特别 留意 这 个 问题 喔 ! 可 以 使 用 iptables 来 检查 是 否 已 经 启用 该 port 
呢 ! 














5. 关于 配置 文件 的 问题 : 
在 启动 postfix 或 者 是 sendmail 之 后 ， 在 登录 档 当 中 仔细 看 看 有 无 错误 





讯息 


发 生 ? 通常 如 果 设 定数 据 不 对 ， 在 登录 文件 当中 都 会 有 记载 错误 的 地 
方 ， 








6. 其 他 档案 的 设 定 问 题 : 


0 有 茶 个 domain 可 以 收 信 ， 其 他 的 同一 主机 的 domain 无 法 


百 ， 


$mydestination 的 设 定 值 才 行 ; (2) 如 果 发 现 邮 件 被 挡 下 来 了 ! 


0 reject 的 字样 ， 那 么 可 能 被 access 挡住 了 ; (3) 如 果 发 现 邮件 队 
万 


(mailq) 存在 很 多 的 邮件 ， 可 能 是 DNS 死 掉 了 ， 请 检查 /etc/resolv.conf 
的 


设 定 是 否 正确 ! 
7. 其 他 可 能 的 问题 ， 


nn 问题 了 ! 这 是 由 于 使 用 者 没有 在 MUA 上 面 设 定 
[我 的 邮 


件 需要 认证 」 的 选项 啦 ! 请 叫 你 的 用 户 赶紧 色 选 吧 ! 
8. 还 是 不 知道 问题 的 解决 方案 : 


如 果 还 是 查 不 出 问题 的 话 ， 那 么 请 务必 检查 您 的 /var/log/maillog (有 的 
时 候 


是 /var/log/mail ， 这 个 要 看 /etc/syslog.conf 的 设 定 )， 当 你 寄 出 一 封 信 的 





时 候 ， 例 如 dmtsai 寄 给 bird2@www.centos.vbird 时 ， 那 么 maillog 档案 
里 





面 会 显示 出 两 行 ， 一 行为 from dmtsai 一 行为 to 
bird2@www.centos.vbird， 也 


就 是 『 我 由 哪里 收 到 信 ， 而 这 封 信 会 寄 到 哪里 去 ! 」 的 意思 ， 由 这 两 行 
束 可 以 了 


解 问题 了 ! 尤其 是 to 的 那 一 行 ， 里面 包含 了 相当 多 的 有 用 信息 ， 包 括 
邮件 无 法 


传送 的 错误 原因 的 纪录 ! ” 如 果 您 对 于 登录 档 不 熟 ， 请 拿 出 『 基 础 学 习 
篇 」 里 面 











22.6 重点 回顾 
要 特别 留意 ， 以 免 被 作为 广告 信 与 垃圾 信 的 
跳板 ; 





Mail server 使 用 的 主机 名 至 少 需要 A 的 DNS 标志 ， 不 过 最 好 能 够 具 
有 





MX 标志 为 宜 ， 且 正 反 解 最 好 成 对 ， 比较 可 以 避免 大 型 mail server 的 抵 
挡 ; 


邮件 服务 器 主要 是 指 SMTP (简单 邮件 传送 协议 ) 而 已 ， 不 过 要 架设 一 


部 可 


利用 次 似 Thunderbird 收发 的 邮件 服务 器 ， 最 好 能 够 具有 SMTP 以 及 
POP3 等 


通讯 协议 ; 
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We 主要 有 MUA, MTA, MDA 以 及 最 终 的 Mailbox 
电子 邮件 服务 器 最 需要 搞定 的 地 方 其 实 是 Relay 的 功能 ， 千 万 不 可 
Open 
Relay 喔 ! 
一 封 电 子 邮 件 至 少 含 有 header 以 及 body 等 数据 在 内 ; 
第 见 的 可 以 启动 SMTP 的 软件 有 sendmail, postfix 及 qmail 等 等 。 
ee 告 信 ， 建 议 您 不 要 将 email address 放 在 因特网 





若 需要 某 些 功能 必需 将 邮件 地 址 放 在 网 络 上 时 ， ”最 好 能 够 拥有 两 个 邮 


件 地址 ， 
一 个 用 来 公开 ， 一 个 则 用 来 作为 自己 的 主要 联络 之 用 。 
22.7 本 章 习 题 

当 你 利用 你 的 MTA 发 信 时 ， 结 果 竟 然 被 退 信 ， 退 信 的 讯息 
(/var/log/maillog) 最 主要 的 错误 是 『mail loop to me ， 请问 可 能 的 发 生 
原因 及 处 理 方式 为 何 ? 


人 


MTA 主机 有 多 个 卫 存在 ， 不 过 你 并 未 完全 写 入 配置 文件 中 ， 因 此 造成 
些 主 


由 
写 








/etc/mail/local-host-names 即 可 ， 如 果 是 postfix ， 则 在 
/etc/postfix/main.cf 当中 修改 $mydestination 那个 设 定 项 目 即 可 。 

请 列 出 四 个 Mail Server 的 相关 的 组 件 ， 以 及 其 功用 为 何 ? 
o Mail Client : 邮件 客户 端 ， 其 实 就 是 使 用 mail 的 那 位 用 户 所 在 的 
计算 机 即 可 称 为 mail client ; 
0 Mail User Agent : 为 一 个 应 用 软件 ， 主 要 的 功能 就 是 收受 邮件 主机 
的 电子 邮件 ， 以 及 提供 用 户 浏览 与 编写 邮件 的 功能 ; 
o Mail Transfer Agent : 为 在 计算 机 与 本 地 端 Mail server 或 
Internet 上 面 的 Mail server 传送 讯息 与 邮件 的 主机 ; 











oMail Dilivery Agent : 主要 的 功能 就 是 将 MTA 所 收受 的 本 机 信件 ， 
放置 到 本 机 账户 下 的 邮件 档案 中 ( Mailbox )! 

POP3 与 SMTP 的 功能 为 何 ? 
0 SMTP 为 使 用 于 MUA 或 MTA 与 MTA 之 间 的 传输 协议 ， 通 常 使 用 
port 25 ， 只 要 主机 支持 SMTP ， 并 且 其 他 relay 的 条 件 能 配合 ， 就 可 
以 进行 邮件 传递 ! 
0 POP3 可 以 提供 使 用 者 经 由 MUA 到 MTA 下 载 邮件 ， 同 时 并 可 将 邮件 
从 主机 上 面 删除 ! 

请 简单 的 说 明 DNS 里 面 MX 标志 与 Mail 的 关系 为 何 ? 
MX recode 可 以 可 以 让 mail server 经 由 MX 以 及 A(address ) 这 个 记 


mail gateway 与 mail route 的 功能 ! 能 够 达到 的 作用 相当 的 
! 
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什么 是 mailling list ? 在 postfix 底下 有 什么 方法 可 以 不 藉 由 其 他 的 
软件 达到 mailling list 的 功能 ? 
Mailling list 就 是 将 使 用 者 寄 给 一 个 账号 邮件 时 ， 该 账号 会 主动 的 将 该 邮 


J 的 用 户 去 ! 有 点 类 似 目 前 的 电子 报 ! 在 sendmail 底下 ， 我 
门 可 Lb 


透 过 aliases ( 需 配合 newaliases) 以 及 ~/.forward 来 达成 喔 ! 
如 何 察看 邮件 队列 的 内 容 ， 以 及 邮件 队列 内 容 放 置 在 何方 ? 
使 用 mailq 即 可 知道 目前 邮件 队列 的 内 容 ， 而 邮件 队列 虽然 可 以 透 过 





sendmail.cf 来 修改 ， 不 过 ， 预 设 情况 下 ， 都 是 以 /var/spool/mqueue 为 邮 
件 


队列 目录 。 

什么 是 Open Relay? 
所 谓 的 Open Relay 就 是 ， 不 论 发 信 端 来 自 何 处 ， 您 的 Open Relay 的 主 
机 


均 可 以 帮 发 信 端 将 信件 发 送出 去 ， 这 个 称 为 ”Open Relay 。 如 果 您 的 


mail server 


具有 open relay 的 情况 ， 那 么 很 容易 遭受 到 垃圾 邮件 的 填充 ， 不 但 造成 


网 络 
带宽 的 耗损 ， 也 容易 让 您 的 主机 被 列 入 黑 名单 当 中 ! 
如 条 要 让 Postfixz 可 以 收发 来 自 非 本 机 的 外 部 信件 ， 您 可 以 修改 


main.cf 
里 面 的 什么 参数 ? 
需要 在 main.cf 里 面 修改 的 变量 主要 有 : 
1. 当 Client 来 自信 任 的 网 域 ， 也 就 是 卫 符合 $mynetworks 的 设 定 
值 时 ; 
2. 当 Client 来 自信 任 的 机 器 ， 也 就 是 主机 名 符合 $relay_domains 的 
设 定 项 目 时 ; 
3. 当 Client 来 自 不 信任 的 网 域 ， 但 是 去 的 目的 地 主机 端 符合 
$relay_domains 的 设 定时 。 

如 何 察 看 您 目前 的 Postfix 服务 器 的 所 有 设 定 参数 ? (使 用 什么 指令 ? ) 





利用 postconf -n 可 以 察看 『 目 前 main.cf 里 面 设 定 的 参数 」， 而 如 果 要 
看 所 有 的 参数 ， 则 直接 使 用 postconf 即 可 ! 

Mail Server 能 否 运 作 与 DNS (MX 与 A recode ) 的 相关 性 为 何 ? 
目前 因特网 社会 合法 的 Mail server 通常 仅 会 针对 具有 MX 标志 的 邮件 主 


0 言 件 而 己 。 而 如 果 有 多 重 MX 时 ， 首 先 会 选择 最 小 MX 主机 寄 


处 理 。 而 最 终 依据 MX 主机 的 A 标志 来 得 得 最 终 目 标 。 
什么 是 smtp, pop3 以 及 imap 协议 ， 他 们 的 用 途 分 别 是 什么 ? 
o smtp: 用 来 传递 邮件 的 协议 ， 通 常 我 们 称 为 MTA 即 是 此 一 协议 所 达 
成 
net.qiang@hotmail.com 


0 
o pop3: 
让 client 端 向 主机 端 要 求 收 信 的 协议 ， 通 常 预 设 收 信 完 成 后 ， 
主机 端的 mail box 会 被 删除 ; 
0 imap: 与 pop3 类 似 ， 不 过 imap 允许 用 户 在 主机 的 家 目录 建立 邮件 
数据 匣 
22.8 参考 数据 与 延伸 阅读 
Sendmail 官方 网 站 : http://www.sendmail.org 





Postfix 官方 网 站 : http://www.postfix.org 


Cyrus-SASL 官方 网 站 : 
http://asg.web.cmu.edu/cyrus/download/sasl/doc/ 

Procmail 官方 网 站 : http://www.procmail.org 

Open Relay Database: http://www.ordb.org/ (很 可 惜 ， 已 于 2006/12/18 
天 站 ) 

Study Area 之 邮件 架设 : 
http:/www.study-area.org/linux/servers/linux mail.htm 

SMTP 认证 系统 的 建 置 : 
http://beta.wsl.sinica.edu.tw/~ylchang/Email/sendmail-auth/ 

台湾 学 术 网 络 黑 名 单 网 页 : http://rs.edu.tw/tanet/spam.html 

卧龙 小 三 的 Procmailrc 范例 : 
ftp://ftp.tnc.edu.tw/pub/Sysop/MAIL/procmailrc 

林 元 敏 主 任 文件 集 之 Procmail 范例 : 


http://freebsd.lab.mlc.edu.tw/procmail.htm 





Postgrey 

Postfix 针对 Postgrey 的 设 定 : 
http:/www.postfix.org/SMTPD POLICY README.html 

一 些 postfix 的 relay 机 制 设 定 : 
http://jiimsun.linxnet.com/misc/postfix-anti-UCE.txt 


小 州 的 postfix 设 定 : 


http:/phorum.study-area.org/viewtopic.php?t=30716 


POSTFIX 技术 手札 ，Ralf Hildebrandt/Patrick Koetter 合 着 ， 上 奇 出 
版 ， 


2005 年 。 
TWU2 兄 在 酷 学 园 所 发 表 的 自制 邮件 过 滤 软 件 : 
http://phorum.study-area.org/Vviewtopic.php?t=38649 
Amavis-new 一 个 在 MTA 与 队列 间 的 服务 : 


http://www .ijs.si/software/amavisd/ 


2 





Steven 的 垃圾 信 抵 挡 机 制 | ; 


http://www.l-penguin.idv.tw/article/postfix spam-spamassassin.htm 
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2006/11/13: 准备 将 原本 的 sendmail 以 及 postfix 整合 成 为 一 篇 专门 介绍 
Mail 


server 的 小 文章 吗 ! 


2006/11/14: 原本 的 _sendmail 请 参考 这 里 ， 原 本 的 _Postfix 则 请 参考 这 
申 。 至 于 人 


数 统计 则 以 sendmail 原本 网 页 增加 。 


2006/11/30: 加 上 了 邮件 扫 瞄 与 广告 信和 抵挡 的 ”spamassassin 机 制 ， 呼 
呼 ! 好 昧 一 


2006/12/05: 加 上 自动 学 习 广 告 信 抵挡 机 制 斑 简单 介绍 。 











2007/02/27 : 感谢 网 友 Cheng-Lin Yang 提供 的 意见 ， 在 黑 名 单 
数据 库 增 加 了 


http:/www.anti-spam.org.cn/, http:/www.Spamhaus.org/ 


2007/04/05: 感谢 chunkit 
成 telnet 


localhost 25 ! 


2010/07/20 : 感谢 Patrick 的 告知 ， 学 术 网 络 的 spam 网 址 应 为 





http://rs.edu.tw/tanet/spam.html 
2011/06/05: 将 旧 的 基于 CentOS4.x 的 版 本 移动 到 此 处 


2011/06/13: 不 愿意 再 讲 telnet 的 mail 功能 ， 加 入 的 是 mutt 这 个 可 以 联 
网 的 好 物 ! 


2011/07/07: 这 个 月 实在 很 忙碌 ， 所 以 短 短 一 篇 mail server 改 了 一 整个 
月 .. 


2011/08/10: 将 基于 CentOS 5.x 的 版 本 移动 到 此 处 
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